Vulnérabilité de sécurité dans certains produits Hikvision
Numéro SN : HSRC-202311-03
Modifier : Centre de réponse de sécurité de Hikvision (HSRC)
Date de publication initiale : 2023-11-23
Sommaire
Certains produits Hikvision ont été affectés par une vulnérabilité de contournement d'authentification dans le module Hik-Connect, qui pourrait permettre à des attaquants distants de consommer des services en envoyant des messages élaborés aux dispositifs affectés.
CVE ID
CVE-2023-48121
Notation
La norme CVSS v3.1 est adoptée pour l'évaluation du score des vulnérabilités.
(http://www.first.org/cvss/specification-document)
Score de base : 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)
Versions affectées
Numéro |
Nom du produit |
Versions affectées |
1 |
DS-2CV1xxx |
date de construction antérieure à 231108 |
2 |
DS-2CV2xxx |
date de construction antérieure à 231108 |
3 |
DS-2CD1xxx |
date de construction antérieure à 230614 |
4 |
DS-2CD2xx1 DS-2CD2xx3 DS-2CD2xx6 DS-2CD2xx7 |
date de construction antérieure à 230630 |
5 | DS-2CD2xx2 DS-2CD2xx0 |
date de construction antérieure à 231110 |
6 |
DS-2CD2xxx-W |
date de construction antérieure à 230831 |
7 |
DS-2CD3xxx |
date de construction antérieure à 210429 |
8 |
HWI-xxxx |
date de construction antérieure à 231108 |
9 |
IPC-xxx |
date de construction antérieure à 230614 |
10 |
DS-2DE4xxx |
date de construction antérieure à 230519 |
11 |
DS-2DE2Axx |
date de construction antérieure à 230612 |
12 |
iDS-EXXHUH |
date de construction antérieure à 230825 |
13 |
iDS-72XXHQH-M(C) |
date de construction antérieure à 230823 |
14 |
DS-71XXHGH-M(C) |
date de construction antérieure à 230913 |
15 |
DS-76xxNI-Q1(/xP)(D) |
date de construction antérieure à 230620 |
16 |
DS-71xxNI-Q1(/xP)(/M)(D) |
date de construction antérieure à 230707 |
17 |
DS-76xxNI-K2 |
date de construction antérieure à 230712 |
18 |
HL-NVR-EXXMH-D/4P(SSD 1T) |
date de construction antérieure à 230925
|
Pré-condition
L'attaquant a un accès réseau à l'appareil.
Étape d’attaque
Envoyer un message spécialement conçu.
Obtention de version corrigée
Les utilisateurs peuvent télécharger le correctif sur le site officiel de Hikvision.
Source des informations sur la vulnérabilité
La vulnérabilité a été signalée à l'équipe de sécurité d'EZVIZ par Joern (@joerngermany).
Nous contacter
Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le Centre de réponse de sécurité Hikvision à l'adresse hsrc@hrbaojie.com.
Hikvision tient à remercier tous les chercheurs en sécurité pour l'attention qu’ils portent à nos produits.
Cet avis de sécurité est publié et mis à jour sur la base des résultats de l'enquête menée par Hikvision et peut faire l'objet de modifications.
2023-11-23 V1.0 INITIALE
2023-11-29 V1.1 MISE À JOUR: Mise à jour des versions affectées
2023-12-04 V1.2 MISE À JOUR: Mise à jour des versions affectées
hrbaojie.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics / show you targeted advertising / show you advertising on the basis of your location / tailor our website's content. For more information on cookie practices please refer to our cookie policy.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.