Vulnerabilidades de segurança em alguns produtos HikCentral
N.º SN HSRC-202508-01
Editar: Centro de Resposta à Segurança da Hikvision (HSRC)
Data de publicação original: 2025-08-28
Resumo
(1) Existe uma vulnerabilidade de injeção de CSV em algumas versões do HikCentral Master Lite. Isto poderia permitir a um atacante injetar comandos executáveis através de dados CSV maliciosos.
(2) Existe uma vulnerabilidade de caminho de serviço não citado em algumas versões do HikCentral FocSign. Isto poderia permitir que um utilizador autenticado permitisse potencialmente a escalada de privilégios através do acesso local.
(3) Existe uma vulnerabilidade no controlo de acesso em algumas versões do HikCentral Professional. Isto pode permitir que um utilizador não autenticado obtenha a permissão de administrador.
ID DO CVE
CVE-2025-39245
CVE-2025-39246
CVE-2025-39247
Pontuação
O CVSS v3.1 é adotado para classificar estas vulnerabilidades
(http://www.first.org/cvss/specification-document)
CVE-2025-39245
Pontuação base: 4.7 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L)
CVE-2025-39246
Pontuação base: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
CVE-2025-39247
Pontuação base: 8.6 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N)
Versões afectadas e correção
Nome do produto |
ID DO CVE |
Versões afetadas |
Versão fixa |
HikCentral Master Lite |
CVE-2025-39245 |
Versões entre V2.2.1 e V2.3.2 |
V2.4.0 |
HikCentral FocSign |
CVE-2025-39246 |
Versões entre V1.4.0 e V2.2.0 |
|
HikCentral Professional |
CVE-2025-39247 |
Versões entre V2.3.1 e V2.6.2 Versão V3.0.0 |
V2.6.3 ou V3.0.1 |
Obtenção da versão fixa
Contactar a equipa de apoio técnico local (clicar para selecionar um país ou região e verificar os detalhes do serviço técnico) para obter apoio.
Fonte de informações sobre vulnerabilidades
Estas vulnerabilidades foram comunicadas ao HSRC por Yousef Alfuhaid / Nader Alharbi (apresentação conjunta), Eduardo Bido e Dr. Matthias Lutter.
Contacte-nos
Para comunicar problemas ou vulnerabilidades de segurança em produtos e soluções Hikvision, contacte o Centro de Resposta à Segurança da Hikvision em hsrc@hikvision.com.
A Hikvision gostaria de agradecer a todos os investigadores de segurança pela vossa atenção aos nossos produtos.
Size: 31.1MB
MD5: 95e235f3f84db124dd7dab7223ab4e0a
Se necessário, contacte o seu instalador regional, integrador, distribuidor, apoio local da Hikvision ou support.eu@hikvision.com para obter assistência na implementação da correção. O patch deve ser instalado no servidor central do HikCentral Professional com permissões administrativas.
Durante a implementação do patch, será necessário um código de autorização de segurança. Este pode ser obtido contactando a assistência local da Hikvision ou support.eu@hikvision.com
Fonte de informações sobre vulnerabilidades
Estas vulnerabilidades foram comunicadas ao HSRC por Yousef Alfuhaid / Nader Alharbi (apresentação conjunta), Eduardo Bido e Dr. Matthias Lutter.
Contactar-nos
Para comunicar quaisquer problemas de segurança ou vulnerabilidades nos produtos e soluções da Hikvision, contacte o Centro de Resposta de Segurança da Hikvision através do endereço hsrc@hikvision.com.
A Hikvision gostaria de agradecer a todos os investigadores de segurança pela sua atenção aos nossos produtos.
Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.
Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.
New Products
Hikvision License Activation
App Store Hikvision
