Notificação de segurança - Vulnerabilidade de injeção de comandos em alguns produtos Hikvision
Nº SN: HSRC-202109-01
Editar: Centro de Resposta à Segurança da Hikvision (HSRC)
Data de lançamento inicial: 2021-09-19
Descarregar o firmware fixo: Os utilizadores podem procurar o firmware através do número de série do produto aqui.
Resumo:
Uma vulnerabilidade de injeção de comandos no servidor Web de alguns produtos Hikvision. Devido à insuficiente validação das entradas, o atacante pode explorar a vulnerabilidade para lançar um ataque de injeção de comandos, enviando algumas mensagens com comandos maliciosos.
ID CVE:
CVE-2021-36260
Pontuação:
O CVSS v3 é adotado nesta pontuação de vulnerabilidade(http://www.first.org/cvss/specification-document)
Pontuação base: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Pontuação temporal: 8.8 (E:P/RL:O/RC:C)
Versões afectadas e versão resolvida:
O firmware do seu dispositivo é afetado por esta vulnerabilidade de segurança (CVE-2021-36260) se a sua versão for anterior a 210628. Instale as actualizações imediatamente. Informações sobre as versões afectadas e as versões resolvidas:
Nome do produto |
Versão(ões) afetada(s) |
DS-2CVxxx1 |
Versões com tempo de compilação anterior a 210625 |
HWI-xxxx |
|
IPC-xxxx |
|
DS-2CD1xx1 |
|
DS-2CD1x23G0E(C) DS-2CD1x43(B) |
|
DS-2CD1xx7G0 |
|
DS-2CD2xx6G2 DS-2CD2xx6G2(C) DS-2CD2xx7G2 DS-2CD2xx7G2(C) |
|
DS-2CD2x21G0(C) DS-2CD2x21G1(C) |
|
DS-2CD2xx3G2 |
|
DS-2CD3xx6G2 DS-2CD3xx6G2(C) |
|
DS-2CD3xx7G0E |
|
DS-2CD3x21G0 DS-2CD3x21G0(C) |
|
DS-2CD3xx3G2 |
|
DS-2CD4xx0 |
|
DS-2XE62x2F(D) |
|
DS-2CD8Cx6G0 |
|
(i)DS-2PTxxxx |
|
(i)DS-2SE7xxxx |
|
DS-2DYHxxxx |
|
DS-2DY9xxxx |
|
PTZ-Nxxxx |
|
HWP-Nxxxx |
|
DS-2DF5xxxx |
|
iDS-2PT9xxxx |
|
iDS-2SK7xxxx |
|
iDS-2SR8xxxx |
|
iDS-2VSxxxx |
|
DS-2TBxxx |
Versões com tempo de compilação anterior a 210702 |
DS-2TD1xxx-xx |
|
DS-2TD41xx-xx/Wx |
|
DS-76xxNI-K1xx(C) |
V4.30.210 Build201224 - V4.31.000 Build210511 |
DS-71xxNI-Q1xx(C) |
V4.30.300 Build210221 - V4.31.100 Build210511 |
| DS-2CD1x23G0 | Versões anteriores (não incluídas) à V5.5.0 build xxxxxx |
| DS-2CD2xx1G0 DS-2CD2xx1G1 DS-2CD2x27G1 DS-2CD2x27G3E |
|
| DS-2CD4xx6FWD (Não-ANPR) DS-2CD4xx5G0 |
|
| DS-2XE6xx5G0 DS-2XE6xx2F |
|
| DS-2XM6xx2FWD DS-2XM6xx2G0 |
|
| (i)DS-2DExxxx |
Condição prévia:
O atacante tem acesso à rede do dispositivo ou o dispositivo tem uma interface direta com a Internet
Passo de ataque:
Enviar uma mensagem especialmente concebida.
Obtenção de firmware fixo:
Os utilizadores devem descarregar o firmware atualizado para se protegerem contra esta potencial vulnerabilidade. Está disponível no sítio Web oficial da Hikvision: Descarregamento do firmware. Os utilizadores podem também utilizar a ferramenta de pesquisa para actualizações importantes de firmware para detetar rapidamente vulnerabilidades críticas e transferir o firmware correspondente.
Fonte de informação sobre a vulnerabilidade:
Esta vulnerabilidade foi comunicada ao HSRC pelo investigador de segurança britânico Watchful IP.
Contactar-nos:
Se tiver um problema ou preocupação de segurança, contacte o Centro de Resposta de Segurança da Hikvision através do endereço hsrc@hikvision.com.
2021-09-19 V1.0 INICIAL
2021-09-23 V1.1 ACTUALIZADA: Versões afectadas actualizadas
2021-09-24 V1.2 ACTUALIZADA: Versões afectadas actualizadas
2021-11-08 V1.3 ACTUALIZADO: Versões afectadas actualizadas
2021-12-31 V1.4 ACTUALIZADA: Versões afectadas actualizadas
How-to Documents
Download fixed firmware: Users can search the firmware via the product serial number here.
Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.
Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.
New Products
Hikvision License Activation
App Store Hikvision
