Oficiální sponzor Asijských her v Hangzhou
Zranitelnosti zabezpečení v zařízeních NVR Hikvision
Sériové č. HSRC-202404-01
Úprava: HSRC (centrum bezpečnostní odpovědnosti Hikvision):
Datum prvního vydání: 02.04.2024
Shrnutí:
1. V některých videorekordérech Hikvision NVR existuje zranitelnost s dereferencí ukazatele NULL. Kvůli nedostatečnému ověření parametru ve zprávě může útočník do postiženého produktu odeslat speciálně vytvořené zprávy, což způsobí abnormalitu procesu.
2. V některých videorekordérech Hikvision NVR existuje zranitelnost při čtení mimo hranice. Ověřený útočník může tuto zranitelnost zneužít odesláním speciálně vytvořených zpráv do zranitelného zařízení, což způsobí poruchu služby.
3. V některých videorekordérech Hikvision NVR existuje zranitelnost typu command injection. To může autentizovanému uživateli s právy správce umožnit spuštění libovolných příkazů.
Společnost Hikvision doporučuje uživatelům nastavit složitá hesla zařízení, aby se snížila možnost zneužití výše uvedených zranitelností.
CVE ID:
CVE-2024-29947
CVE-2024-29948
CVE-2024-29949
Bodování:
Při hodnocení těchto zranitelností se používá standard CVSS v3.1.
(http://www.first.org/cvss/specification-document)
CVE-2024-29947
Základní skóre: 2.7 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)
CVE-2024-29948
Základní skóre: 3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L)
CVE-2024-29949
Základní skóre: 7.2 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Napadené verze a opravy:
Název produktu |
Postiženo |
Napadené verze |
DS-7604NI-K1 / 4P(B) |
CVE-2024-29947 & CVE-2024-29949
|
V4.30.096 build221220 a předchozí verze |
DS-7604NXI-K1/4P |
CVE-2024-29948
|
V4.76.005 build231012 a předchozí verze |
DS-76xxNI-Mx DS-77xxNI-Mx DS-96xxxNI-Mxx
DS-76xxNXI-Ix DS-77xxNXI-Ix DS-86xxNXI-Ix DS-96xxNXI-Ix
iDS-76xxNXI-Mx iDS-77xxNXI-Mx iDS-96xxxMXI-Mxx |
CVE-2024-29949 |
Verze po V5.00.000 (včetně V5.00.000) a před V5.02.006(bez V5.02.006) |
DS-7604NI-M1/4P
|
Verze po V5.00.000 (včetně V5.00.000) a před V5.01.070(bez V5.01.070) |
Získání opravených verzí
Uživatelé si mohou stáhnout záplaty/aktualizace na oficiálních stránkách společnosti Hikvision.
Zdroj informací o zranitelnosti
Tyto zranitelnosti nahlásil HSRC Team.ENVY (KITRI BoB 12.).
Kontakt
Chcete-li nahlásit jakékoli bezpečnostní problémy nebo zranitelnosti v produktech a řešeních společnosti Hikvision, obraťte se na Hikvision Security Response Center na adrese hsrc@hrbaojie.com.
Společnost Hikvision by ráda poděkovala všem bezpečnostním výzkumníkům za pozornost, kterou věnují našim produktům.
Toto bezpečnostní upozornění je vydáváno a aktualizováno na základě aktuálních výsledků šetření společnosti Hikvision a může se měnit.
hrbaojie.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics and tailor our website’s content. For more information on cookie practices please refer to our cookie policy.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.