Portugal - PT
X

Vulnerabilidade de segurança em alguns produtos Hikvision Hybrid SAN!

 

    Vulnerabilidade de segurança em alguns produtos Hikvision Hybrid SAN/armazenamento de clusters

    N.º de série HSRC-202206-01

    Edição: Centro de Resposta à Segurança da Hikvision (HSRC)

    Data de publicação original: 2022-06-23

     

    Resumo

    O módulo Web de alguns produtos Hikvision Hybrid SAN/armazenamento de clusters têm as seguintes vulnerabilidades de segurança:

    1) Devido à validação insuficiente da entrada de dados, o atacante pode explorar a vulnerabilidade para executar comandos restringidos mediante o envio de mensagens com comandos maliciosos ao dispositivo afetado. 

    2) Devido à validação insuficiente da entrada de dados, o atacante pode explorar a vulnerabilidade para atacar o XSS mediante o envio de mensagens com comandos maliciosos ao dispositivo afetado.

     

    ID DO CVE

    CVE-2022-28171

    CVE-2022-28172

     

    Pontuação

    Esta pontuação de vulnerabilidades adotou o CVSS v3. 

    (http://www.first.org/cvss/specification-document)

    CVE-2022-28171

    Pontuação base: 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

    Pontuação temporal: 6,7 (E:P/RL:O/RC:C)

    CVE-2022-28172

    Pontuação base: 6,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

    Pontuação temporal: 5,9 (E:P/RL:O/RC:C)

     

    Versões afetadas e correções

    Nome do produto Versões afetadas
    DS-A71024/48/72R Versões inferiores à V2.3.8-6 (incluindo V2.3.8-6)
    DS-A80624S
    DS-A81016S
    DS-A72024/72R
    DS-A80316S
    DS-A82024D
    DS-A71024/48R-CVS Versões inferiores à V1.1.4 (incluindo V1.1.4)
    DS-A72024/48R-CVS

    Pré-condição

    O atacante tem acesso de rede ao dispositivo.

     

    Passo de ataque

    Envio de uma mensagem maliciosa criada especificamente para o efeito.

     

    Obtenção de versões corrigidas

    Os utilizadores podem transferir patches/atualizações a partir do site oficial da Hikvision (clique aqui) para mitigarem estas vulnerabilidades. 

     

    Fonte de informação sobre a vulnerabilidade:

    Esta vulnerabilidade foi comunicada ao HSRC pelo investigador de segurança independente Thurein Soe.

     

    Contacte-nos

    Para comunicar problemas ou vulnerabilidades de segurança em produtos e soluções Hikvision, contacte o Centro de Resposta à Segurança da Hikvision em hsrc@hikvision.com.

     

    A Hikvision gostaria de agradecer a todos os investigadores de segurança que ajudaram a identificar e mitigar potenciais vulnerabilidades nos nossos produtos para garantir que as nossas soluções protegem pessoas, instalações e bens ao mesmo tempo que os dados dos utilizadores são salvaguardados. 

     

     

    Consulte a Carta do parceiro para obter mais informações >>

    Transferir

    Este site usa cookies para armazenar informações em seu dispositivo. Os cookies ajudam nosso site a funcionar normalmente e nos mostram como podemos melhorar sua experiência de usuário.

    Ao continuar a navegar na página, concorda com a nossa política de cookies e política de privacidad.

     

    Gerir Cookies Rejeitar Aceitar
    Aceitar
    Rejeitar Gerir Cookies
    Sales
    Technical Support
    Online Service
    Newsletter
    Where to Buy
    Website Feedback
    Contact Us
    Hik-Partner Pro close
    Hik-Partner Pro
    Security Business Assistant. At Your Fingertips. Learn more
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.