918博天堂·(中国区)首页

Vulnerabilidad de seguridad en algunos productos Hikvision Hybrid SAN/Cluster Storage

Notificación de seguridad: vulnerabilidad de seguridad en algunos productos de almacenamiento híbrido SAN/Cluster de Hikvision

N.o de serie HSRC-202304-01

Editar: HSRC (centro de respuesta de seguridad de Hikvision):

Fecha de publicación inicial: 2023-04-10

 

Resumen

Algunos productos Hikvision Hybrid SAN/Cluster Storage tienen una vulnerabilidad de control de acceso que se puede utilizar para obtener el permiso de administrador. El atacante puede explotar la vulnerabilidad enviando mensajes creados a los dispositivos afectados.

Hikvision ha lanzado una versión para corregir la vulnerabilidad.

 

CVE ID

CVE-2023-28808

 

Calificación

Se adopta CVSS v3 en esta calificación de vulnerabilidad. 

(http://www.first.org/cvss/specification-document)

CVE-2023-28808

Puntuación base: 9,1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)

Calificación temporal: 8.2 (E:P/RL:O/RC:C).

 

Versiones afectadas y soluciones

Nombre del producto Versiones afectadas Descargar el parche Manual del usuario
DS-A71024/48/72R  Versiones inferiores a la V2.3.8-8 (incluida la V2.3.8-8) Solución de la vulnerabilidad de seguridad de SAN-230407.zip híbrido Guía del usuario para solucionar la vulnerabilidad de seguridad de SAN_230410 híbrido
DS-A80624S
DS-A81016S
DS-A72024/72R
DS-A80316S
DS-A82024D
DS-A71024/48R-CVS Versiones anteriores a V1.1.4 (incluyendo V1.1.4) Corrección de la vulnerabilidad de seguridad del Storage-230407.zip Guía del usuario para solucionar la vulnerabilidad de seguridad de Cluster_230410

Condición previa

El atacante tiene acceso de red al dispositivo.

 

Paso del ataque

Enviar un mensaje malicioso especialmente creado.

 

Obtener versiones corregidas

Los usuarios pueden descargar parches/actualizaciones en el sitio web oficial de Hikvision.

 

Fuente de información de vulnerabilidad

Souvik Kandar, Arko Dhar del equipo Redinent Innovations en India, informa de esta vulnerabilidad al HSRC, y también queremos reconocer la cooperación del Equipo Nacional de Respuesta ante Emergencias Informáticas de la India (CERT-In) que coordinó con nosotros para manejar esta vulnerabilidad.

 

Contáctenos

Para informar sobre problemas de seguridad o vulnerabilidades en los productos y soluciones de Hikvision, póngase en contacto con el Security Response Center de Hikvision escribiendo a hsrc@hrbaojie.com.

Hikvision desea agradecer a todos los investigadores de seguridad su atención a nuestros productos.

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.