การแจ้งเตือนด้านความปลอดภัย - ช่องโหว่ในการแทรกคำสั่งผลิตภัณฑ์ Hikvision บางรายการ

การแจ้งเตือนด้านความปลอดภัย - ช่องโหว่ในการแทรกคำสั่งผลิตภัณฑ์ Hikvision บางรายการ

SN No.: HSRC-202109-01

แก้ไขโดย: Hikvision Security Response Center (HSRC)

วันที่เปิดตัว: 2021-09-19

บทสรุป:

Hikvision พบช่องโหว่ในการแทรกคำสั่งในเว็บเซิร์ฟเวอร์ของผลิตภัณฑ์ Hikvision บางรายการ เนื่องจากการตรวจสอบอินพุตไม่เพียงพอ ผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อเริ่มการโจมตีด้วยการแทรกคำสั่งโดยการส่งข้อความที่สร้างขึ้นเป็นพิเศษพร้อมคำสั่งที่อาจเป็นอันตราย จึงได้ชี้แจงเพื่อให้ทำการอัปเดตเฟิร์มแวร์ผลิตภัณฑ์บางรายการ

CVE ID:

CVE-2021-36260

Scoring:

CVSS v3 is adopted in this vulnerability scoring(http://www.first.org/cvss/specification-document)

Base score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Temporal score: 8.8 (E:P/RL:O/RC:C)

รุ่นที่ได้รับผลกระทบและรุ่นที่แก้ไขแล้ว:

ข้อมูลของเวอร์ชั่นที่ได้รับผลกระทบและเวอร์ชั่นที่ได้รับการแก้ไข:

ชื่อผลิตภัณฑ์

รุ่นที่ได้รับผลกระทบ

DS-2CVxxx1
DS-2CVxxx6

เวอร์ชั่นที่สร้างก่อนวันที่ 210625

HWI-xxxx

IPC-xxxx

DS-2CD1xx1

DS-2CD1x23G0

DS-2CD1x23G0E(C)
DS-2CD1x43(B)
DS-2CD1x43(C)
DS-2CD1x43G0E
DS-2CD1x53(B)
DS-2CD1x53(C)

DS-2CD1xx7G0

DS-2CD2xx6G2

DS-2CD2xx6G2(C)

DS-2CD2xx7G2

DS-2CD2xx7G2(C)

DS-2CD2x21G0

DS-2CD2x21G0(C)

DS-2CD2x21G1

DS-2CD2x21G1(C)

DS-2CD2xx3G2

DS-2CD3xx6G2

DS-2CD3xx6G2(C)
DS-2CD3xx7G2
DS-2CD3xx7G2(C)

DS-2CD3xx7G0E

DS-2CD3x21G0

DS-2CD3x21G0(C)
DS-2CD3x51G0(C)

DS-2CD3xx3G2

DS-2CD4xx0
DS-2CD4xx6
iDS-2XM6810
iDS-2CD6810

DS-2XE62x2F(D)
DS-2XC66x5G0
DS-2XE64x2F(B)

DS-2CD8Cx6G0

(i)DS-2DExxxx

(i)DS-2PTxxxx

(i)DS-2SE7xxxx

DS-2DYHxxxx

DS-2DY9xxxx

PTZ-Nxxxx

HWP-Nxxxx

DS-2DF5xxxx
DS-2DF6xxxx
DS-2DF6xxxx-Cx
DS-2DF7xxxx
DS-2DF8xxxx
DS-2DF9xxxx

iDS-2PT9xxxx

iDS-2SK7xxxx
iDS-2SK8xxxx

iDS-2SR8xxxx

iDS-2VSxxxx

DS-2TBxxx
DS-Bxxxx
DS-2TDxxxxB

เวอร์ชั่นที่สร้างก่อนวันที่ 210702

DS-2TD1xxx-xx
DS-2TD2xxx-xx

DS-2TD41xx-xx/Wx
DS-2TD62xx-xx/Wx
DS-2TD81xx-xx/Wx
DS-2TD4xxx-xx/V2
DS-2TD62xx-xx/V2
DS-2TD81xx-xx/V2

DS-76xxNI-K1xx(C)
DS-76xxNI-Qxx(C)
DS-HiLookI-NVR-1xxMHxx-C(C)
DS-HiLookI-NVR-2xxMHxx-C(C)
DS-HiWatchI-HWN-41xxMHxx(C)
DS-HiWatchI-HWN-42xxMHxx(C)

V4.30.210 สร้างเมื่อ 201224 - V4.31.000 สร้างเมื่อ 210511

DS-71xxNI-Q1xx(C)
DS-HiLookI-NVR-1xxMHxx-D(C)
DS-HiLookI-NVR-1xxHxx-D(C)
DS-HiWatchI-HWN-21xxMHxx(C)
DS-HiWatchI-HWN-21xxHxx(C)

V4.30.300 สร้างเมื่อ 210221 - V4.31.100 สร้างเมื่อ 210511

เงื่อนไขเบื้องต้น:

ผู้โจมตีสามารถเข้าถึงเครือข่ายอุปกรณ์หรืออุปกรณ์มีส่วนต่อประสานโดยตรงกับอินเทอร์เน็ต

ขั้นตอนการโจมตี:

ส่งข้อความที่สร้างขึ้นมาเป็นพิเศษ

การรับเฟิร์มแวร์คงที่:

ผู้ใช้ควรดาวน์โหลดเฟิร์มแวร์ที่อัปเดตเพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้นนี้ มีอยู่ในเว็บไซต์ทางการของ Hikvision: ดาวน์โหลดเฟิร์มแวร์

แหล่งที่มาของข้อมูลช่องโหว่:

ช่องโหว่นี้รายงานไปยัง HSRC โดย Watchful IP นักวิจัยด้านความปลอดภัยของสหราชอาณาจักร

ติดต่อเรา:

หากคุณมีปัญหาหรือข้อกังวลด้านความปลอดภัย โปรดติดต่อ Hikvision Security Response Center ที่ hsrc@hikvision.com

 

2021-09-19 V1.0 เริ่มแรก

2021-09-23 V1.1 อัปเดตเวอร์ชันที่ได้รับผลกระทบ

2021-09-24 V1.2 อัปเดตเวอร์ชันที่ได้รับผลกระทบ

Download

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.

 

ติดต่อเรา
back to top

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.