• 918博天堂·(中国区)首页

    Vulnerabilidade de segurança em alguns produtos de controlo de acesso/intercomunicação da Hikvision

    Vulnerabilidade de segurança em alguns produtos de controlo de acesso/intercomunicação da Hikvision

    N.º SN HSRC-202306-01

    Editar: Centro de Resposta à Segurança da Hikvision (HSRC)

    Data de publicação original: 2023-06-14

     

    Resumo:

    Alguns dos produtos de controlo de acesso/intercomunicadores da Hikvision apresentam as seguintes vulnerabilidades de segurança:

    (1) Alguns produtos de controlo de acesso são vulneráveis a um ataque de sequestro de sessão porque o produto não actualiza o ID da sessão depois de um utilizador iniciar sessão com êxito. Para explorar a vulnerabilidade, os atacantes têm de solicitar o ID da sessão ao mesmo tempo que um utilizador válido inicia sessão e obter permissões de funcionamento do dispositivo falsificando o IP e o ID da sessão de um utilizador autenticado.

     

    (2) Alguns produtos de controlo de acesso/intercomunicadores têm vulnerabilidades de modificação não autorizada da configuração de rede do dispositivo. Os atacantes podem modificar a configuração de rede do dispositivo enviando pacotes de dados específicos para a interface vulnerável dentro da mesma rede local.

     

    ID CVE:

    CVE-2023-28809 

    CVE-2023-28810

     

    Pontuação

    Esta pontuação de vulnerabilidades adotou o CVSS v3. 

    (http://www.first.org/cvss/specification-document)

    CVE-2023-28809

    Pontuação base: 7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

    Pontuação temporal: 6,7 (E:P/RL:O/RC:C)

    CVE-2023-28810

    Pontuação base: 4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

    Pontuação temporal: 3.9 (E:P/RL:O/RC:C)

     

    Versões afectadas e correcções:

    Nome do produto Vuls afectadas Versões afetadas

    DS-K1T804AXX

    CVE-2023-28809 & CVE-2023-28810

    Versões inferiores a V1.4.0_build221212 (incluindo V1.4.0_build221212)

    DS-K1T341AXX

    Versões inferiores a V3.2.30_build221223 (incluindo V3.2.30_build221223)

    DS-K1T671XXX

    Versões inferiores a V3.2.30_build221223 (incluindo V3.2.30_build221223)

    DS-K1T343XXX

    Versões inferiores a V3.14.0_build230117 (incluindo V3.14.0_build230117)

    DS-K1T341C

    Versões inferiores a V3.3.8_build230112 (incluindo V3.3.8_build230112)

    DS-K1T320XXX

    Versões inferiores a V3.5.0_build220706 (incluindo V3.5.0_build220706)

    Série DS-KH63
    Série DS-KH85

    CVE-2023-28810

    Versões inferiores a V2.2.8_build230219 (incluindo V2.2.8_build230219)

    Série DS-KH62 Versões inferiores a V1.4.62_build220414 (incluindo V1.4.62_build220414)

    DS-KH9310-WTE1(B)
    DS-KH9510-WTE1(B)

    Versões inferiores a V2.1.76_build230204 (incluindo V2.1.76_build230204)

    Obtenção de versões corrigidas

    Os utilizadores podem descarregar patches/atualizações aqui para mitigar estas vulnerabilidades.

     

    Fonte de informação sobre a vulnerabilidade:

    Estas vulnerabilidades foram comunicadas ao HSRC por Andres Hinnosaar com o apoio do CCDCOE da NATO e de Peter Szot da Skylight Cyber.

     

    Contacte-nos

    Para comunicar problemas ou vulnerabilidades de segurança em produtos e soluções Hikvision, contacte o Centro de Resposta à Segurança da Hikvision em hsrc@hrbaojie.com.

     

    A Hikvision gostaria de agradecer a todos os investigadores de segurança que ajudaram a identificar e mitigar potenciais vulnerabilidades nos nossos produtos para garantir que as nossas soluções protegem pessoas, instalações e bens ao mesmo tempo que os dados dos utilizadores são salvaguardados.

    Contact Us
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.