Vulnerabilidade de segurança em alguns produtos de SAN híbrida da Hikvision

Vulnerabilidade de segurança em alguns produtos de armazenamento de SAN híbrida/Cluster da Hikvision

SN Nº HSRC-202206-01

Editar: Centro de resposta de segurança da Hikvision (HSRC)

Data de divulgação inicial: 23/06/2022

 

Resumo

O módulo da Web em alguns produtos de armazenamento de SAN híbrida/Cluster da Hikvision apresenta as seguintes vulnerabilidades de segurança:

1) Em virtude de validação de entrada insuficiente, o invasor pode explorar a vulnerabilidade para executar comandos restritos enviando mensagens com comandos mal-intencionados para o dispositivo afetado. 

2) Em virtude da validação de entrada insuficiente, o invasor pode explorar a vulnerabilidade ao ataque XSS enviando mensagens com comandos mal-intencionados para o dispositivo afetado.

 

CVE ID

CVE-2022-28171

CVE-2022-28172

 

Pontuação

CVSS v3 é adotada nesta pontuação de vulnerabilidade. 

(http://www.first.org/cvss/specification-document)

CVE-2022-28171

Pontuação base: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Pontuação temporal: 6,7 (/E:P/RL:O/RC:C)

CVE-2022-28172

Pontuação base: 6,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

Pontuação temporal: 5,9 (E:P/RL:O/RC:C)

 

Versões e correções afetadas

Nome do produto Versões afetadas
DS-A71024/48/72R Versões abaixo de V2.3.8-6 (incluindo V2.3.8-6)
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS Versões abaixo de V1.1.4 (incluindo V1.1.4)
DS-A72024/48R-CVS

Pré-condição

O invasor tem acesso de rede ao dispositivo.

 

Etapa de ataque

Envio de uma mensagem mal-intencionada especialmente elaborada.

 

Obtenção de versões corrigidas

Os usuários podem fazer download de patches/atualizações no site oficial da Hikvision (clique aqui) para mitigar essas vulnerabilidades. 

 

Entre em contato conosco

Para relatar qualquer problema ou vulnerabilidade de segurança em produtos e soluções da Hikvision, entre em contato com o Centro de resposta de segurança da Hikvision pelo e-mail hsrc@hikvision.com.

 

A Hikvision gostaria de agradecer a todos os pesquisadores de segurança que ajudam a identificar e mitigar vulnerabilidades potenciais em nossos produtos para garantir que nossas soluções protejam pessoas, lugares e ativos enquanto os dados do usuário permanecem protegidos. 

 

 

Confira a Carta ao parceiro para obter mais informações >>

Hikvision.com usa cookies estritamente necessários e tecnologias relacionadas para permitir que o site funcione. Com o seu consentimento, também gostaríamos de usar cookies para observar e analisar os níveis de tráfego e outras métricas / mostrar publicidade direcionada / mostrar publicidade com base em sua localização / personalizar o conteúdo do nosso site. Para obter mais informações sobre práticas de cookies, consulte nossa política de cookies.

Contato
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro
back to top