Vulnerabilidad de seguridad en algunos productos de almacenamiento en Hybrid SAN/Clúster de Hikvision

SN No. HSRC-202206-01

Edición: Hikvision Security Response Center (HSRC)

Fecha inicial de lanzamiento: 2022-06-23

Resumen

El módulo web en algunos productos Hikvision Hybrid SAN/Clúster Storage tiene las siguientes vulnerabilidades de seguridad:

1) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad para ejecutar comandos restringidos mediante el envío de mensajes con comandos maliciosos al dispositivo afectado.

2) Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad del ataque XSS enviando mensajes con comandos maliciosos al dispositivo afectado.

CVE ID

CVE-2022-28171

CVE-2022-28172

Puntuación

CVSS v3 es adoptado en esta puntuación de vulnerabilidad.

(http://www.first.org/cvss/specification-document)

CVE-2022-28171

Puntuación básica: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Puntuación temporal: 6.7 (/E:P/RL:O/RC:C)

CVE-2022-28172

Puntuación básica: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

Puntuación temporal: 5.9 (E:P/RL:O/RC:C)

Versiones afectadas y arreglos

Nombre del producto	Versiones afectadas
DS-A71024/48/72R	Versiones a continuación: V2.3.8-6 (incluida V2.3.8-6)
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS	Versiones a continuación: V1.1.4 (incluida V1.1.4)
DS-A72024/48R-CVS	Versiones a continuación: V1.1.4 (incluida V1.1.4)

Condición previa

El atacante tiene acceso a la red del dispositivo.

Paso de ataque

Enviar un mensaje malicioso especialmente diseñado.

Obtención de versiones arregladas

Los usuarios pueden descargar patches/actualizaciones en el sitio web oficial de Hikvision (haga clic aquí) para mitigar estas vulnerabilidades.

Contáctenos

Para informar cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, comuníquese con el Centro de Respuesta de Seguridad de Hikvision en hsrc@hikvision.com.

Hikvision desea agradecer a todos los investigadores de seguridad que ayudan a identificar y mitigar las posibles vulnerabilidades en nuestros productos para garantizar que nuestras soluciones protejan a las personas, los lugares y los activos, mientras que los datos de los usuarios están protegidos.

Consulte la carta a socios para obtener más información >>

Precondition

The attacker has network access to the device.

Attack Step

Send a specially crafted malicious message.

Obtaining Fixed Versions

Users can download patches/updates on the Hikvision official website (Click here) to mitigate these vulnerabilities.

Source of vulnerability information:

This vulnerability is reported to HSRC by independent security researcher Thurein Soe.

Contáctenos

To report any security issues or vulnerabilities in Hikvision products and solutions, please contact Hikvision Security Response Center at hsrc@hikvision.com.

Hikvision would like to thank all the security researchers who help identify and mitigate potential vulnerabilities in our products to ensure that our solutions protect people, places, and assets while user data is safeguarded.

Check out the Partner Letter to get more information >>