Benelux - Nederlands
Beveiligingskwetsbaarheden in sommige hybride SAN/clusteropslagproducten van Hikvision
Serienr. HSRC-202206-01
Revisie: Hikvision Security Response Center (HSRC)
Oorspronkelijke publicatiedatum: 2022-06-23
Overzicht
De webmodule in sommige hybride SAN-/clusteropslagproducten van Hikvision heeft de volgende beveiligingskwetsbaarheden:
1) Vanwege onvoldoende invoervalidatie kan een hacker de kwetsbaarheid misbruiken om beperkte opdrachten uit te voeren door berichten met schadelijke opdrachten naar het getroffen apparaat te sturen.
2) Vanwege onvoldoende invoervalidatie kan een hacker de kwetsbaarheid misbruiken om een XSS-aanval uit te voeren door berichten met schadelijke opdrachten naar het getroffen apparaat te sturen.
CVE-ID
CVE-2022-28171
CVE-2022-28172
Score
CVSS v3 wordt aangenomen in deze kwetsbaarheidsscore.
(http://www.first.org/cvss/specification-document)
CVE-2022-28171
Basisscore: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Temporele score: 6,7 (/E:P/RL:O/RC:C)
CVE-2022-28172
Basisscore: 6,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Temporele score: 5,9 (E:P/RL:O/RC:C)
Getroffen versies en oplossingen
| Productnaam | Getroffen versies |
| DS-A71024/48/72R | Versies tot en met V2.3.8-6 |
| DS-A80624S | |
| DS-A81016S | |
| DS-A72024/72R | |
| DS-A80316S | |
| DS-A82024D | |
| DS-A71024/48R-CVS | Versies tot en met V1.1.4 |
| DS-A72024/48R-CVS |
Randvoorwaarde
De hacker heeft toegang tot het netwerk van het apparaat.
Aanvalsstap
Stuur een speciaal vervaardigd kwaadaardig bericht.
Gerepareerde versies verkrijgen
Gebruikers kunnen patches/updates downloaden op de officiële website van Hikvision (klik hier) om deze kwetsbaarheden te verhelpen.
Bron van informatie over kwetsbaarheden:
Deze kwetsbaarheid wordt door onafhankelijk beveiligingsonderzoeker Thurein Soe aan HSRC gemeld.
Contact
Om beveiligingsproblemen of -kwetsbaarheden in producten en oplossingen van Hikvision te melden, kunt u contact opnemen met het Hikvision Security Response Center via hsrc@hikvision.com.
Hikvision bedankt alle beveiligingsonderzoekers die helpen bij het identificeren en verminderen van potentiële kwetsbaarheden in onze producten om ervoor te zorgen dat onze oplossingen mensen, plaatsen en activa beschermen terwijl gebruikersgegevens worden beschermd.
Downloaden
Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.
