פרצות אבטחה בסדרת המוצרים של HikCentral

SN מס. HSRC-202410-01

עריכה: Hikvision Security Response Center (HSRC)

תאריך יציאה ראשוני: 2024-10-18

תקציר

(1) קיימת פגיעות של הזרקת CSV בחלק מהגרסאות של HikCentral Master Lite. אם מנוצל, תוקף עלול לבנות נתונים זדוניים כדי ליצור פקודות הפעלה בקובץ ה-CSV.

(2) קיימת פגיעות XSS בחלק מהגרסאות של HikCentral Master Lite. אם הוא מנוצל, תוקף עלול להחדיר סקריפטים לדפים מסוימים על ידי בניית נתונים זדוניים.

(3) קיימת פגיעות של הזרקת SQL בחלק מהגרסאות של HikCentral Professional. זה יכול לאפשר למשתמש מאומת לבצע שאילתות SQL שרירותיות.

מזהה CVE

CVE-2024-47485

CVE-2024-47486

CVE-2024-47487

ניקוד

CVSS v4.0 מאומץ בניקוד הפגיעויות הללו

(http://www.first.org/cvss/v4.0/specification-document)

CVE-2024-47485

ציון בסיס: 5.5 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H)

CVE-2024-47486

ציון בסיס: 2.1 (CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N)

CVE-2024-47487

ציון בסיס: 7.2 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:L/VA:L/SC:L/SI:L/SA:L)

גרסאות מושפעות ותיקון

השגת גרסה מתוקנת

צרו קשר עם צוות התמיכה הטכנית בישראל (לחצו כדי לבחור מדינה ולבדוק את השירות הטכני הפרטי) כדי לקבל את התמיכה.

מקור מידע על פגיעות

נקודות תורפה אלו דווחו ל-HSRC על ידי יוסף אלפוהייד ומאן דואן דוק.

צרו קשר

כדי לדווח על בעיות אבטחה או פגיעות במוצרים ובפתרונות של Hikvision, אנא צרו קשר עם מרכז התגובה האבטחה של Hikvision בכתובת hsrc@imgcoffee.com.

Hikvision רוצה להודות לכל חוקרי האבטחה על תשומת הלב שלכם למוצרים שלנו.

完美体育(中国)官方登录中心