918博天堂·(中国区)首页

Security Vulnerability in Some Hikvision Products

Vulnerabilidad de seguridad en algunos productos Hikvision

SN No. HSRC-202311-03

 

Edit: Hikvision Security Response Center (HSRC)

 

Fech de publicación: 2023-11-23

 

 

Resumen

 

Algunos productos de Hikvision se han visto afectados por una vulnerabilidad de omisión de autenticación en el módulo Hik-Connect, que podría permitir a atacantes remotos consumir servicios mediante el envío de mensajes crafteados a los dispositivos afectados.

 

CVE ID

CVE-2023-48121

 

 

Puntuación

CVSS v3.1 se adopta en esta puntuación de vulnerabilidad.

 

(http://www.first.org/cvss/specification-document)

 

Puntuación de base: 8.2 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

 

 

Versiones afectadas

No

Producto

Versiones afectadas

1

DS-2CV1xxx

fecha de construcción anterior a 231108

2

DS-2CV2xxx

fecha de construcción anterior a 231108

3

DS-2CD1xxx

fecha de construcción anterior a 230614

4

DS-2CD2xx1

DS-2CD2xx3

DS-2CD2xx6

DS-2CD2xx7

fecha de construcción anterior a 230630

5 DS-2CD2xx2
DS-2CD2xx0

fecha de construcción anterior a 231110

6

DS-2CD2xxx-W

fecha de construcción anterior a 230831

7

DS-2CD3xxx

fecha de construcción anterior a 210429

8

HWI-xxxx

fecha de construcción anterior a 231108

9

IPC-xxx

fecha de construcción anterior a 230614

10

DS-2DE4xxx

fecha de construcción anterior a 230519

11

DS-2DE2Axx

fecha de construcción anterior a 230612

12

iDS-EXXHUH
DS-EXXHGH
iDS-EXXHQH
DVR-EXXHUH
DVR-EXXHGH
DVR-EXXHQH

V4.71.210 fecha de construcción anterior a 230825 

13

iDS-72XXHQH-M(C)
iDS-72XXHUH-M(C)
iDS-72XXHQH-M(E)
iDS-72XXHUH-M(E)
iDS-72XXHTH-M(C)
HW-HWD-72XXMH-G4
HW-HWD-62XXMH-G4
HL-DVR-216Q-K2(E)

V4.71.110 fecha de construcción anterior a 230823

14

DS-71XXHGH-M(C)
DS-72XXHGH-M(C)
DS-71XXHGH-K(S)
DS-72XXHGH-K(S)
HL-DVR-1XXG-K(S)
HL-DVR-2XXG-K(S)
HL-DVR-1XXG-M(C)
HL-DVR-2XXG-M(C)
HW-HWD-51XXH(S)
HW-HWD-51XXH-G
HW-HWD-51XXMH-G
iDS-71xxHQH-M(C)
iDS-71xxHQH-M(E)
iDS-72xxHQH-M/E(C)
iDS-72xxHQH-M/E(E)
HL-DVR-2XXQ-M(C)
HL-DVR-2XXQ-M(E)
HW-HWD-61XXMH-G4
HW-HWD-61XXMH-G4(E)
iDS-71xxHUH-M(C)
iDS-72xxHUH-M/E(C)
iDS-71xxHUH-M(E)
iDS-72xxHUH-M/E(E)
HL-DVR-2XXU-M(C)
HL-DVR-2XXU-M(E)
HW-HWD-71XXMH-G4
HW-HWD-71XXMH-G4(E)

V4.71.131 fecha de construcción anterior a 230913

 

15

DS-76xxNI-Q1(/xP)(D)
DS-76xxNI-Q2(/xP)(D)
DS-77xxNI-Q4(/xP)(D)
DS-76xxNXI-K1(/xP)(B)
NVR-2xx(M)H(-xP)-C(D)
NVR-1xx(M)H(-xP)-C(D)
HW-HWN-42xx(M)H(-xP)(D)
HW-HWN-41xx(M)H(-xP)(D)

V4.75.000 fecha de construcción anterior a 230620

16

DS-71xxNI-Q1(/xP)(/M)(D)
DS-76xxNI-Q1(C)
DS-76xxNI-Q2(C)
DS-76xxNI-K1(C)
HL-NVR-1xx(M)H-D(D)
HW-HWN-21xx(M)H(-xP)(D)
HW-HWN-41xxMH(C)
HW-HWN-42xxMH(C)
HL-NVR-1xxMH-C(C)
HL-NVR-2xxMH-C(C)

V4.74.100 fecha de construcción anterior a 230707

17

DS-76xxNI-K2
DS-77xxNI-K4

V4.74.205 fecha de construcción anterior a 230712

18

HL-NVR-EXXMH-D/4P(SSD 1T)
HL-NVR-EXXMH-D/4P(SSD 2T)
DS-EXXNI-Q1(SSD 1T)
DS-EXXNI-Q1(SSD 2T)

V4.30.075 fecha de construcción anterior a 230925

 

 

 

Condición previa

 

El atacante tiene acceso de red al dispositivo.

 

 

Paso del ataque

 

Enviar un mensaje malicioso especialmente diseñado.

 

 

Obtengala versión corregida

 

Los usuarios pueden descargar el parche en Hikvision official website.

 

 

Fuente de la información sobre la vulnerabilidad

 

La vulnerabilidad fue reportada al equipo de seguridad de EZVIZ por Joern (@joerngermany).

 

 

Contacte con nosotros

 

Para informar de cualquier problema de seguridad o vulnerabilidad en los productos y soluciones de Hikvision, póngase en contacto con Hikvision Security Response Center en hsrc@hrbaojie.com.

Hikvision agradece a todos los investigadores de seguridad la atención prestada a nuestros productos.

 

2023-11-23 V1.0 INiCIAL

2023-11-29 V1.1 ACTUALIZADO: Versiones afectadas actualizadas

Contáctenos
Hik-Partner Pro close
Hik-Partner Pro
Hik-Partner Pro
Scan and download the app
Download
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.