Vulnerabilidade de Injeção de Comando em Alguns Produtos Hikvision

Condição prévia:

O invasor tem acesso à rede do dispositivo ou o dispositivo possui interface direta com a internet

Etapa de ataque:

Envie uma mensagem especialmente criada.

Obtenção de firmware fixo:

Os usuários devem baixar o firmware atualizado para se proteger contra essa vulnerabilidade potencial. Está disponível no site oficial da Hikvision: download do firmware

Fonte de informações de vulnerabilidade:

Esta vulnerabilidade é relatada ao HSRC pelo pesquisador de segurança do Reino Unido Watchful IP.

Entre em contato conosco:

Se você tiver um problema ou preocupação de segurança, continue o Hikvision Security Response Center em hsrc@hrbaojie.com

Nome do Produto	Versões afetadas
DS-2CVxxx1 DS-2CVxxx5 DS-2CVxxx6	Versões que constroem o tempo antes de 210625
HWI-xxxx
IPC-xxxx
DS-2CD1xx1
DS-2CD1x23 DS-2CD1x43(B) DS-2CD1x43(C) DS-2CD1x43G0E DS-2CD1x53(B) DS-2CD1x53(C)
DS-2CD1xx7G0
DS-2CD2xx6G2 DS-2CD2xx7G2
DS-2CD2x21G0
DS-2CD2xx3G2
DS-2CD3xx6G2 DS-2CD3xx7G2
DS-2CD3xx7G0E
DS-2CD3x21G0 DS-2CD3x51G0
DS-2CD3xx3G2
DS-2CD4xx0 DS-2CD4xx6 DS-2CD5xx7 DS-2CD5xx5 iDS-2XM6810 iDS-2CD6810
DS-2XE62x7FWD(D) DS-2XE30x6FWD(B) DS-2XE60x6FWD(B) DS-2XE62x2F(D) DS-2XC66x5G0 DS-2XE64x2F(B)
DS-2CD7xx6G0 DS-2CD8Cx6G0
KBA18(C)-83x6FWD
(i)DS-2DExxxx
(i)DS-2PTxxxx
(i)DS-2SE7xxxx
DS-2DYHxxxx
DS-DY9xxxx
PTZ-Nxxxx
HWP-Nxxxx
DS-2DF5xxxx DS-2DF6xxxx DS-2DF6xxxx-Cx DS-2DF7xxxx DS-2DF8xxxx DS-2DF9xxxx
iDS-2PT9xxxx
iDS-2SK7xxxx iDS-2SK8xxxx
iDS-2SR8xxxx
iDS-2VSxxxx
DS-2TBxxx DS-Bxxxx DS-2TDxxxxB	Versões anteriores a 210702
DS-2TD1xxx-xx DS-2TD2xxx-xx
DS-2TD41xx-xx/Wx DS-2TD62xx-xx/Wx DS-2TD81xx-xx/Wx DS-2TD4xxx-xx/V2 DS-2TD62xx-xx/V2 DS-2TD81xx-xx/V2
DS-76xxNI-K1xx(C) DS-76xxNI-Qxx(C) DS-HiLookI-NVR-1xxMHxx(C) DS-HiLookI-NVR-2xxMHxx(C) DS-HiWatchI-HWN-41xxMHxx(C) DS-HiWatchI-HWN-42xxMHxx(C)	V4.30.210 Build201224 - V4.31.000 Build210511
DS-71xxNI-Q1xx(C) DS-HiLookI-NVR-1xxMHxx(C) DS-HiLookI-NVR-1xxHxx(C) DS-HiWatchI-HWN-21xxMHxx(C) DS-HiWatchI-HWN-21xxHxx(C)	V4.30.300 Build210221 - V4.31.100 Build210511

SN No.: HSRC-202109-01

Edit: Hikvision Security Response Center (HSRC)

Initial release date: 2021-09-19

Summary:

A command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input validation, attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands.

CVE ID:

CVE-2021-36260

Scoring:

CVSS v3 is adopted in this vulnerability scoring（http://www.first.org/cvss/specification-document）

Base score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

Temporal score: 8.8 (E:P/RL:O/RC:C)

Affected versions and resolved version:

Information of affected versions and resolved versions:

対象製品	対象バージョン
DS-2CD2xx6G2 DS-2CD2xx6G2(C) DS-2CD2xx7G2 DS-2CD2xx7G2(C)	Versions which Build time before 210625
DS-2CD2x21G0 DS-2CD2x21G0(C) DS-2CD2x21G1 DS-2CD2x21G1(C)
(i)DS-2DExxxx
DS-76xxNI-K1xx(C)	V4.30.210 Build201224 - V4.31.000 Build210511
DS-71xxNI-Q1xx(C)	V4.30.300 Build210221 - V4.31.100 Build210511

918博天堂·(中国区)首页

Vulnerabilidade de Injeção de Comando em Alguns Produtos Hikvision

Notificación de Seguridad - Vulnerabilidad a la Inyección de Comandos Críticos en algunos productos Hikvision

Get a better browsing experience