918博天堂·(中国区)首页

Vulnérabilité de sécurité dans certains produits Hikvision

Vulnérabilité de sécurité dans certains produits Hikvision

Numéro SN : HSRC-202311-03

 

Modifier : Centre de réponse de sécurité de Hikvision (HSRC)

 

Date de publication initiale : 2023-11-23

 

Sommaire

Certains produits Hikvision ont été affectés par une vulnérabilité de contournement d'authentification dans le module Hik-Connect, qui pourrait permettre à des attaquants distants de consommer des services en envoyant des messages élaborés aux dispositifs affectés.

 

CVE ID

CVE-2023-48121

 

Notation

La norme CVSS v3.1 est adoptée pour l'évaluation du score des vulnérabilités.

 

(http://www.first.org/cvss/specification-document)

 

Score de base : 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

 

Versions affectées

Numéro

Nom du produit

Versions affectées

1

DS-2CV1xxx

date de construction antérieure à 231108

2

DS-2CV2xxx

date de construction antérieure à 231108

3

DS-2CD1xxx

date de construction antérieure à 230614

4

DS-2CD2xx1

DS-2CD2xx3

DS-2CD2xx6

DS-2CD2xx7

date de construction antérieure à 230630

5 DS-2CD2xx2
DS-2CD2xx0

date de construction antérieure à 231110

6

DS-2CD2xxx-W

date de construction antérieure à 230831

7

DS-2CD3xxx

date de construction antérieure à 210429

8

HWI-xxxx

date de construction antérieure à 231108

9

IPC-xxx

date de construction antérieure à 230614

10

DS-2DE4xxx

date de construction antérieure à 230519

11

DS-2DE2Axx

date de construction antérieure à 230612

12

iDS-EXXHUH
DS-EXXHGH
iDS-EXXHQH
DVR-EXXHUH

date de construction antérieure à 230825 

13

iDS-72XXHQH-M(C)
iDS-72XXHUH-M(C)
iDS-72XXHQH-M(E)
iDS-72XXHUH-M(E)
iDS-72XXHTH-M(C)
HW-HWD-72XXMH-G4
HW-HWD-62XXMH-G4
HL-DVR-216Q-K2(E)

date de construction antérieure à 230823

14

DS-71XXHGH-M(C)
DS-72XXHGH-M(C)
DS-71XXHGH-K(S)
DS-72XXHGH-K(S)
HL-DVR-1XXG-K(S)
HL-DVR-2XXG-K(S)
HL-DVR-1XXG-M(C)
HL-DVR-2XXG-M(C)
HW-HWD-51XXH(S)
HW-HWD-51XXH-G
HW-HWD-51XXMH-G
iDS-71xxHQH-M(C)
iDS-71xxHQH-M(E)
iDS-72xxHQH-M/E(C)
iDS-72xxHQH-M/E(E)
HL-DVR-2XXQ-M(C)
HL-DVR-2XXQ-M(E)
HW-HWD-61XXMH-G4
HW-HWD-61XXMH-G4(E)
iDS-71xxHUH-M(C)
iDS-72xxHUH-M/E(C)
iDS-71xxHUH-M(E)
iDS-72xxHUH-M/E(E)
HL-DVR-2XXU-M(C)
HL-DVR-2XXU-M(E)
HW-HWD-71XXMH-G4
HW-HWD-71XXMH-G4(E)

date de construction antérieure à 230913

15

DS-76xxNI-Q1(/xP)(D)
DS-76xxNI-Q2(/xP)(D)
DS-77xxNI-Q4(/xP)(D)
DS-76xxNXI-K1(/xP)(B)
NVR-2xx(M)H(-xP)-C(D)
NVR-1xx(M)H(-xP)-C(D)
HW-HWN-42xx(M)H(-xP)(D)
HW-HWN-41xx(M)H(-xP)(D)

date de construction antérieure à 230620

16

DS-71xxNI-Q1(/xP)(/M)(D)
DS-76xxNI-Q1(C)
DS-76xxNI-Q2(C)
DS-76xxNI-K1(C)
HL-NVR-1xx(M)H-D(D)
HW-HWN-21xx(M)H(-xP)(D)
HW-HWN-41xxMH(C)
HW-HWN-42xxMH(C)
HL-NVR-1xxMH-C(C)
HL-NVR-2xxMH-C(C)

date de construction antérieure à 230707

17

DS-76xxNI-K2
DS-77xxNI-K4

date de construction antérieure à 230712

18

HL-NVR-EXXMH-D/4P(SSD 1T)
HL-NVR-EXXMH-D/4P(SSD 2T)
DS-EXXNI-Q1(SSD 1T)
DS-EXXNI-Q1(SSD 2T)

date de construction antérieure à 230925

 

 

Pré-condition

L'attaquant a un accès réseau à l'appareil.

 

Étape d’attaque

Envoyer un message spécialement conçu.

 

Obtention de version corrigée

Les utilisateurs peuvent télécharger le correctif sur le site officiel de Hikvision.

 

Source des informations sur la vulnérabilité

La vulnérabilité a été signalée à l'équipe de sécurité d'EZVIZ par Joern (@joerngermany).

 

Nous contacter

Pour signaler tout problème de sécurité ou toute vulnérabilité dans les produits et solutions Hikvision, veuillez contacter le Centre de réponse de sécurité Hikvision à l'adresse hsrc@hrbaojie.com.

 

Hikvision tient à remercier tous les chercheurs en sécurité pour l'attention qu’ils portent à nos produits.

 

Cet avis de sécurité est publié et mis à jour sur la base des résultats de l'enquête menée par Hikvision et peut faire l'objet de modifications. 

 

2023-11-23 V1.0 INITIALE

2023-11-29 V1.1 MISE À JOUR: Mise à jour des versions affectées

2023-12-04 V1.2 MISE À JOUR: Mise à jour des versions affectées

Contactez-Nous

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.