• 完美体育(中国)官方登录中心

    Vulnérabilité de la sécurité dans certains produits Hybrid SAN de Hikvision

    Vulnérabilité de la sécurité dans certains produits Hybrid SAN/Cluster Storage de Hikvision

    N° série : HSRC-202206-01

    Editeur :HSRC (Centre de réponse de sécurité Hikvision) :

    Date de sortie initiale 23/06/2022

     

    résumé

    Le module Web de certains produits Hikvision Hybrid SAN/Cluster Storage présente les vulnérabilités de sécurité suivantes :

    1) En raison de la validation d'entrée insuffisante, l'attaquant peut exploiter la vulnérabilité permettant d'exécuter des commandes restreintes en envoyant des messages contenant des commandes malveillantes à l'appareil affecté. 

    2) En raison de la validation d'entrée insuffisante, l'attaquant peut exploiter la vulnérabilité permettant une attaque XSS en envoyant des messages contenant des commandes malveillantes à l'appareil affecté.

     

    ID CVE

    CVE-2022-28171

    CVE-2022-28172

     

    Notation

    CVSS v3 est adopté dans cette notation de vulnérabilité. 

    (http://www.first.org/cvss/specification-document)

    CVE-2022-28171

    Notation de base : 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

    Score temporel  : 6.7 (/E:P/RL:O/RC:C)

    CVE-2022-28172

    Notation de base : 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)

    Score temporel  : 5.9 (E:P/RL:O/RC:C)

     

    Versions et correctifs concernés

    Nom du produit Versions affectées
    DS-A71024/48/72R Versions inférieures à V2.3.8-6 (y compris V2.3.8-6)
    DS-A80624S
    DS-A81016S
    DS-A72024/72R
    DS-A80316S
    DS-A82024D
    DS-A71024/48R-CVS Versions inférieures à V1.1.4 (y compris V1.1.4)
    DS-A72024/48R-CVS

    Condition préalable

    L'attaquant dispose d'un accès réseau à l'appareil.

     

    Étape d'attaque

    Envoyer un message malveillant spécialement conçu.

     

    Obtention de versions corrigées

    Les utilisateurs peuvent télécharger des correctifs/mises à jour sur le site officiel de Hikvision (cliquez ici) pour atténuer ces vulnérabilités. 

     

    Contactez-nous

    Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter Hikvision Security Response Center à l'adresse hsrc@imgcoffee.com.

     

    Hikvision tient à remercier tous les chercheurs en sécurité qui s'évertuent à identifier et à atténuer les éventuelles vulnérabilités de nos produits afin de garantir que nos solutions protègent les personnes, les lieux et les actifs tout en protégeant les données des utilisateurs. 

     

     

    Pour en savoir plus, consultez la Lettre aux partenaires >>

    Télécharger

    Contactez-Nous
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro
    back to top

    Get a better browsing experience

    You are using a web browser we don』t support. Please try one of the following options to have a better experience of our web content.

    • browser-chorme
    • browser-edge
    • browser-safari
    • browser-firefox