การแจ้งเตือนด้านความปลอดภัย - ช่องโหว่ในการแทรกคำสั่งผลิตภัณฑ์ Hikvision บางรายการ

SN No.: HSRC-202109-01

แก้ไขโดย: Hikvision Security Response Center (HSRC)

วันที่เปิดตัว: 2021-09-19

บทสรุป:

Hikvision พบช่องโหว่ในการแทรกคำสั่งในเว็บเซิร์ฟเวอร์ของผลิตภัณฑ์ Hikvision บางรายการ เนื่องจากการตรวจสอบอินพุตไม่เพียงพอ ผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อเริ่มการโจมตีด้วยการแทรกคำสั่งโดยการส่งข้อความที่สร้างขึ้นเป็นพิเศษพร้อมคำสั่งที่อาจเป็นอันตราย จึงได้ชี้แจงเพื่อให้ทำการอัปเดตเฟิร์มแวร์ผลิตภัณฑ์บางรายการ

CVE ID:

CVE-2021-36260

Scoring:

CVSS v3 is adopted in this vulnerability scoring（http://www.first.org/cvss/specification-document）

Base score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Temporal score: 8.8 (E:P/RL:O/RC:C)

รุ่นที่ได้รับผลกระทบและรุ่นที่แก้ไขแล้ว:

ข้อมูลของเวอร์ชั่นที่ได้รับผลกระทบและเวอร์ชั่นที่ได้รับการแก้ไข:

ชื่อผลิตภัณฑ์	รุ่นที่ได้รับผลกระทบ
DS-2CVxxx1 DS-2CVxxx6	เวอร์ชั่นที่สร้างก่อนวันที่ 210625
HWI-xxxx
IPC-xxxx
DS-2CD1xx1
DS-2CD1x23G0 DS-2CD1x23G0E(C) DS-2CD1x43(B) DS-2CD1x43(C) DS-2CD1x43G0E DS-2CD1x53(B) DS-2CD1x53(C)
DS-2CD1xx7G0
DS-2CD2xx6G2 DS-2CD2xx6G2(C) DS-2CD2xx7G2 DS-2CD2xx7G2(C)
DS-2CD2x21G0 DS-2CD2x21G0(C) DS-2CD2x21G1 DS-2CD2x21G1(C)
DS-2CD2xx3G2
DS-2CD3xx6G2 DS-2CD3xx6G2(C) DS-2CD3xx7G2 DS-2CD3xx7G2(C)
DS-2CD3xx7G0E
DS-2CD3x21G0 DS-2CD3x21G0(C) DS-2CD3x51G0(C)
DS-2CD3xx3G2
DS-2CD4xx0 DS-2CD4xx6 iDS-2XM6810 iDS-2CD6810
DS-2XE62x2F(D) DS-2XC66x5G0 DS-2XE64x2F(B)
DS-2CD8Cx6G0
(i)DS-2DExxxx
(i)DS-2PTxxxx
(i)DS-2SE7xxxx
DS-2DYHxxxx
DS-2DY9xxxx
PTZ-Nxxxx
HWP-Nxxxx
DS-2DF5xxxx DS-2DF6xxxx DS-2DF6xxxx-Cx DS-2DF7xxxx DS-2DF8xxxx DS-2DF9xxxx
iDS-2PT9xxxx
iDS-2SK7xxxx iDS-2SK8xxxx
iDS-2SR8xxxx
iDS-2VSxxxx
DS-2TBxxx DS-Bxxxx DS-2TDxxxxB	เวอร์ชั่นที่สร้างก่อนวันที่ 210702
DS-2TD1xxx-xx DS-2TD2xxx-xx
DS-2TD41xx-xx/Wx DS-2TD62xx-xx/Wx DS-2TD81xx-xx/Wx DS-2TD4xxx-xx/V2 DS-2TD62xx-xx/V2 DS-2TD81xx-xx/V2
DS-76xxNI-K1xx(C) DS-76xxNI-Qxx(C) DS-HiLookI-NVR-1xxMHxx-C(C) DS-HiLookI-NVR-2xxMHxx-C(C) DS-HiWatchI-HWN-41xxMHxx(C) DS-HiWatchI-HWN-42xxMHxx(C)	V4.30.210 สร้างเมื่อ 201224 - V4.31.000 สร้างเมื่อ 210511
DS-71xxNI-Q1xx(C) DS-HiLookI-NVR-1xxMHxx-D(C) DS-HiLookI-NVR-1xxHxx-D(C) DS-HiWatchI-HWN-21xxMHxx(C) DS-HiWatchI-HWN-21xxHxx(C)	V4.30.300 สร้างเมื่อ 210221 - V4.31.100 สร้างเมื่อ 210511

เงื่อนไขเบื้องต้น:

ผู้โจมตีสามารถเข้าถึงเครือข่ายอุปกรณ์หรืออุปกรณ์มีส่วนต่อประสานโดยตรงกับอินเทอร์เน็ต

ขั้นตอนการโจมตี:

ส่งข้อความที่สร้างขึ้นมาเป็นพิเศษ

การรับเฟิร์มแวร์คงที่:

ผู้ใช้ควรดาวน์โหลดเฟิร์มแวร์ที่อัปเดตเพื่อป้องกันช่องโหว่ที่อาจเกิดขึ้นนี้ มีอยู่ในเว็บไซต์ทางการของ Hikvision: ดาวน์โหลดเฟิร์มแวร์

แหล่งที่มาของข้อมูลช่องโหว่:

ช่องโหว่นี้รายงานไปยัง HSRC โดย Watchful IP นักวิจัยด้านความปลอดภัยของสหราชอาณาจักร

ติดต่อเรา:

หากคุณมีปัญหาหรือข้อกังวลด้านความปลอดภัย โปรดติดต่อ Hikvision Security Response Center ที่ hsrc@hikvision.com

2021-09-19 V1.0 เริ่มแรก

2021-09-23 V1.1 อัปเดตเวอร์ชันที่ได้รับผลกระทบ

2021-09-24 V1.2 อัปเดตเวอร์ชันที่ได้รับผลกระทบ

Document

Hik-Partner Pro

Security Business Assistant. At Your Fingertips. Learn more

Scan and download the app

Download

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.

การแจ้งเตือนด้านความปลอดภัย - ช่องโหว่ในการแทรกคำสั่งผลิตภัณฑ์ Hikvision บางรายการ