Vulnerabilidade de Injeção de Comando em Alguns Produtos Hikvision

    Condição prévia:

    O invasor tem acesso à rede do dispositivo ou o dispositivo possui interface direta com a internet

    Etapa de ataque:

    Envie uma mensagem especialmente criada.

    Obtenção de firmware fixo:

    Os usuários devem baixar o firmware atualizado para se proteger contra essa vulnerabilidade potencial. Está disponível no site oficial da Hikvision: download do firmware

    Fonte de informações de vulnerabilidade:

    Esta vulnerabilidade é relatada ao HSRC pelo pesquisador de segurança do Reino Unido Watchful IP.

    Entre em contato conosco:

    Se você tiver um problema ou preocupação de segurança, continue o Hikvision Security Response Center em hsrc@hikvision.com

     

    Nome do Produto

    Versões afetadas

     

    DS-2CVxxx1
    DS-2CVxxx5
    DS-2CVxxx6

    Versões que constroem o tempo antes de 210625

     

    HWI-xxxx

    IPC-xxxx

    DS-2CD1xx1

    DS-2CD1x23
    DS-2CD1x43(B)
    DS-2CD1x43(C)
    DS-2CD1x43G0E
    DS-2CD1x53(B)
    DS-2CD1x53(C)

    DS-2CD1xx7G0

    DS-2CD2xx6G2
    DS-2CD2xx7G2

    DS-2CD2x21G0

    DS-2CD2xx3G2

    DS-2CD3xx6G2
    DS-2CD3xx7G2

    DS-2CD3xx7G0E

    DS-2CD3x21G0
    DS-2CD3x51G0

    DS-2CD3xx3G2

    DS-2CD4xx0
    DS-2CD4xx6
    DS-2CD5xx7
    DS-2CD5xx5
    iDS-2XM6810
    iDS-2CD6810

    DS-2XE62x7FWD(D)
    DS-2XE30x6FWD(B)
    DS-2XE60x6FWD(B)
    DS-2XE62x2F(D)
    DS-2XC66x5G0
    DS-2XE64x2F(B)

    DS-2CD7xx6G0
    DS-2CD8Cx6G0

    KBA18(C)-83x6FWD

    (i)DS-2DExxxx

    (i)DS-2PTxxxx

    (i)DS-2SE7xxxx

    DS-2DYHxxxx

    DS-DY9xxxx

    PTZ-Nxxxx

    HWP-Nxxxx

    DS-2DF5xxxx
    DS-2DF6xxxx
    DS-2DF6xxxx-Cx
    DS-2DF7xxxx
    DS-2DF8xxxx
    DS-2DF9xxxx

    iDS-2PT9xxxx

    iDS-2SK7xxxx
    iDS-2SK8xxxx

    iDS-2SR8xxxx

    iDS-2VSxxxx

    DS-2TBxxx
    DS-Bxxxx
    DS-2TDxxxxB

    Versões anteriores a 210702

     

    DS-2TD1xxx-xx
    DS-2TD2xxx-xx

    DS-2TD41xx-xx/Wx
    DS-2TD62xx-xx/Wx
    DS-2TD81xx-xx/Wx
    DS-2TD4xxx-xx/V2
    DS-2TD62xx-xx/V2
    DS-2TD81xx-xx/V2

    DS-76xxNI-K1xx(C)
    DS-76xxNI-Qxx(C)
    DS-HiLookI-NVR-1xxMHxx(C)
    DS-HiLookI-NVR-2xxMHxx(C)
    DS-HiWatchI-HWN-41xxMHxx(C)
    DS-HiWatchI-HWN-42xxMHxx(C)

    V4.30.210 Build201224 - V4.31.000 Build210511

    DS-71xxNI-Q1xx(C)
    DS-HiLookI-NVR-1xxMHxx(C)
    DS-HiLookI-NVR-1xxHxx(C)
    DS-HiWatchI-HWN-21xxMHxx(C)
    DS-HiWatchI-HWN-21xxHxx(C)

    V4.30.300 Build210221 - V4.31.100 Build210511

    Notificación de Seguridad - Vulnerabilidad a la Inyección de Comandos Críticos en algunos productos Hikvision 

    SN No.: HSRC-202109-01

    Edit: Hikvision Security Response Center (HSRC)

    Initial release date: 2021-09-19

    Summary:

    A command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input validation, attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands.

    CVE ID:

    CVE-2021-36260

    Scoring:

    CVSS v3 is adopted in this vulnerability scoring(http://www.first.org/cvss/specification-document)

    Base score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

    Temporal score: 8.8 (E:P/RL:O/RC:C)

    Affected versions and resolved version:

    Information of affected versions and resolved versions:

    対象製品

    対象バージョン

    DS-2CD2xx6G2

    DS-2CD2xx6G2(C)

    DS-2CD2xx7G2

    DS-2CD2xx7G2(C)

    Versions which Build time before 210625

    DS-2CD2x21G0

    DS-2CD2x21G0(C)

    DS-2CD2x21G1

    DS-2CD2x21G1(C)

    (i)DS-2DExxxx

    DS-76xxNI-K1xx(C)

    V4.30.210 Build201224 - V4.31.000 Build210511

    DS-71xxNI-Q1xx(C)

    V4.30.300 Build210221 - V4.31.100 Build210511

    Hikvision.com usa cookies estritamente necessários e tecnologias relacionadas para permitir que o site funcione. Com o seu consentimento, também gostaríamos de usar cookies para observar e analisar os níveis de tráfego e outras métricas / mostrar publicidade direcionada / mostrar publicidade com base em sua localização / personalizar o conteúdo do nosso site. Para obter mais informações sobre práticas de cookies, consulte nossa política de cookies.

    Contato
    Hik-Partner Pro close
    Hik-Partner Pro
    Security Business Assistant. At Your Fingertips. Learn more
    Hik-Partner Pro
    Scan and download the app
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.