• 完美体育(中国)官方登录中心

    Vulnérabilité de sécurité dans certains produits Hikvision

    Vulnérabilité de sécurité dans certains produits Hikvision

    SN No. HSRC-202311-03

     

    Edit :  Centre de réponse de sécurité Hikvision (HSRC)

     

    Date de publication initiale: 23/11/2023

     

    résumé

    Certains produits Hikvision ont été affectés par une vulnérabilité de contournement d'authentification dans le module Hik-Connect, qui pourrait permettre à des attaquants distants de consommer des services en envoyant des messages élaborés aux dispositifs affectés.

     

    ID CVE

    CVE-2023-48121

     

    Notation

    La norme CVSS v3.1 est adoptée pour l'évaluation des vulnérabilités.

     

    (http://www.first.org/cvss/specification-document)

     

    Notation de base : 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

     

    Versions affectées

    No

    Nom du produit

    Versions affectées

    1

    DS-2CV1xxx

    date de construction avant 231108

    2

    DS-2CV2xxx

    date de construction avant231108

    3

    DS-2CD1xxx

    date de construction avant 230614

    4

    DS-2CD2xx1

    DS-2CD2xx3

    DS-2CD2xx6

    DS-2CD2xx7

    date de construction avant 230630
    5 DS-2CD2xx2
    DS-2CD2xx0

    date de construction avant 231110

    6

    DS-2CD2xxx-W

    date de construction avant 230831

    7

    DS-2CD3xxx

    date de construction avant 210429

    8

    HWI-xxxx

    date de construction avant 231108

    9

    IPC-xxx

    date de construction avant 230614

    10

    DS-2DE4xxx

    date de construction avant 230519

    11

    DS-2DE2Axx

    date de construction avant 230612

    12

    iDS-EXXHUH
    DS-EXXHGH
    iDS-EXXHQH
    DVR-EXXHUH

    date de construction avant 230825 

    13

    iDS-72XXHQH-M(C)
    iDS-72XXHUH-M(C)
    iDS-72XXHQH-M(E)
    iDS-72XXHUH-M(E)
    iDS-72XXHTH-M(C)
    HW-HWD-72XXMH-G4
    HW-HWD-62XXMH-G4
    HL-DVR-216Q-K2(E)

    date de construction avant 230823

    14

    DS-71XXHGH-M(C)
    DS-72XXHGH-M(C)
    DS-71XXHGH-K(S)
    DS-72XXHGH-K(S)
    HL-DVR-1XXG-K(S)
    HL-DVR-2XXG-K(S)
    HL-DVR-1XXG-M(C)
    HL-DVR-2XXG-M(C)
    HW-HWD-51XXH(S)
    HW-HWD-51XXH-G
    HW-HWD-51XXMH-G
    iDS-71xxHQH-M(C)
    iDS-71xxHQH-M(E)
    iDS-72xxHQH-M/E(C)
    iDS-72xxHQH-M/E(E)
    HL-DVR-2XXQ-M(C)
    HL-DVR-2XXQ-M(E)
    HW-HWD-61XXMH-G4
    HW-HWD-61XXMH-G4(E)
    iDS-71xxHUH-M(C)
    iDS-72xxHUH-M/E(C)
    iDS-71xxHUH-M(E)
    iDS-72xxHUH-M/E(E)
    HL-DVR-2XXU-M(C)
    HL-DVR-2XXU-M(E)
    HW-HWD-71XXMH-G4
    HW-HWD-71XXMH-G4(E)

    date de construction avant 230913

    15

    DS-76xxNI-Q1(/xP)(D)
    DS-76xxNI-Q2(/xP)(D)
    DS-77xxNI-Q4(/xP)(D)
    DS-76xxNXI-K1(/xP)(B)
    NVR-2xx(M)H(-xP)-C(D)
    NVR-1xx(M)H(-xP)-C(D)
    HW-HWN-42xx(M)H(-xP)(D)
    HW-HWN-41xx(M)H(-xP)(D)

    date de construction avant 230620

    16

    DS-71xxNI-Q1(/xP)(/M)(D)
    DS-76xxNI-Q1(C)
    DS-76xxNI-Q2(C)
    DS-76xxNI-K1(C)
    HL-NVR-1xx(M)H-D(D)
    HW-HWN-21xx(M)H(-xP)(D)
    HW-HWN-41xxMH(C)
    HW-HWN-42xxMH(C)
    HL-NVR-1xxMH-C(C)
    HL-NVR-2xxMH-C(C)

    date de construction avant 230707

    17

    DS-76xxNI-K2
    DS-77xxNI-K4

    date de construction avant 230712

    18

    HL-NVR-EXXMH-D/4P(SSD 1T)
    HL-NVR-EXXMH-D/4P(SSD 2T)
    DS-EXXNI-Q1(SSD 1T)
    DS-EXXNI-Q1(SSD 2T)

    date de construction avant 230925

     

     

    Condition préalable

    L'attaquant dispose d'un accès réseau à l'appareil.

     

    Étape d'attaque

    Envoyer un message malveillant spécialement conçu.

     

    Obtenir une version corrigée

    Les utilisateurs peuvent télécharger le correctif sur le site officiel de Hikvision.

     

    Source des informations sur la vulnérabilité

    La vulnérabilité a été signalée à l'équipe de sécurité d'EZVIZ par Joern (@joerngermany).
     

    Contactez-nous

    Pour signaler tout problème de sécurité ou toute vulnérabilité des produits et solutions Hikvision, veuillez contacter le Hikvision Security Response Center à l'adresse hsrc@imgcoffee.com.

     

    Hikvision souhaite remercier tous les chercheurs en sécurité pour l'attention qu'ils portent à ses produits.

     

    Cet avis de sécurité est publié et mis à jour en fonction des résultats de l'enquête menée par Hikvision et est susceptible d'être modifié.

     

    2023-11-23 V1.0 INITIAL

    2023-11-29 V1.1 UPDATED: Versions affectées mises à jour

    2023-12-04 V1.2 UPDATED: Versions affectées mises à jour

    Contactez-Nous
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro
    back to top

    Get a better browsing experience

    You are using a web browser we don』t support. Please try one of the following options to have a better experience of our web content.

    • browser-chorme
    • browser-edge
    • browser-safari
    • browser-firefox