Una alerta de seguridad de vulnerabilidad de inyección de comandos en el servidor web afecta a diversos producto de Hikvision. Debido a la validación de entrada insuficiente, el atacante puede aprovechar la vulnerabilidad para lanzar un ataque de inyección de comandos enviando algunos mensajes con comandos maliciosos.
El atacante debe tener acceso a la red del dispositivo o el dispositivo posee una interfaz directa conectado a Internet.
Esto se rastrea como CVE-2021-36260
Los usuarios deben descargar el firmware actualizado para protegerse contra esta posible vulnerabilidad.
Está disponible en el sitio web oficial de Hikvision: Descarga de firmware
Puntuación base: 9,8 (CVSS: 3,1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H)
Puntuación temporal: 8.8 (E: P / RL: O / RC: C)
Versiones afectadas y versión resuelta:
Información de versiones afectadas y versiones resueltas:
Nombre del producto | Versiones afectadas |
DS-2CVxxx1 DS-2CVxxx6 | Versiones que se compilan antes de 210625 |
HWI-xxxx | |
IPC-xxxx | |
DS-2CD1xx1 | |
DS-2CD1x23G0DS-2CD1x23G0E (C) DS-2CD1x43 (B) DS-2CD1x43 (C) DS-2CD1x43G0E DS-2CD1x53 (B) DS-2CD1x53 (C) | |
DS-2CD1xx7G0 | |
DS-2CD2xx6G2DS-2CD2xx6G2 (C)DS-2CD2xx7G2DS-2CD2xx7G2 (C) | |
DS-2CD2x21G0DS-2CD2x21G0 (C)DS-2CD2x21G1DS-2CD2x21G1 (C) | |
DS-2CD2xx3G2 | |
DS-2CD3xx6G2DS-2CD3xx6G2 (C) DS-2CD3xx7G2 DS-2CD3xx7G2 (C) | |
DS-2CD3xx7G0E | |
DS-2CD3x21G0DS-2CD3x21G0 (C) DS-2CD3x51G0 (C) | |
DS-2CD3xx3G2 | |
DS-2CD4xx0 DS-2CD4xx6 iDS-2XM6810 iDS-2CD6810 | |
DS-2XE62x2F (D) DS-2XC66x5G0 DS-2XE64x2F (B) | |
DS-2CD8Cx6G0 | |
(i) DS-2DExxxx | |
(i) DS-2PTxxxx | |
(i) DS-2SE7xxxx | |
DS-2DYHxxxx | |
DS-2DY9xxxx | |
PTZ-Nxxxx | |
HWP-Nxxxx | |
DS-2DF5xxxx DS-2DF6xxxx DS-2DF6xxxx-Cx DS-2DF7xxxx DS-2DF8xxxx DS-2DF9xxxx | |
iDS-2PT9xxxx | |
iDS-2SK7xxxx iDS-2SK8xxxx | |
iDS-2SR8xxxx | |
iDS-2VSxxxx | |
DS-2TBxxx DS-Bxxxx DS-2TDxxxxB | Versiones que se compilan antes de 210702 |
DS-2TD1xxx-xx DS-2TD2xxx-xx | |
DS-2TD41xx-xx / Wx DS-2TD62xx-xx / Wx DS-2TD81xx-xx / Wx DS-2TD4xxx-xx / V2 DS-2TD62xx-xx / V2 DS-2TD81xx-xx / V2 | |
DS-76xxNI-K1xx (C) DS-76xxNI-Qxx (C) DS-HiLookI-NVR-1xxMHxx-C (C) DS-HiLookI-NVR-2xxMHxx-C (C) DS-HiWatchI-HWN-41xxMHxx (C) DS-HiWatchI-HWN-42xxMHxx (C) | V4.30.210 compilación201224 – V4.31.000 compilación210511 |
DS-71xxNI-Q1xx (C) DS-HiLookI-NVR-1xxMHxx-D (C) DS-HiLookI-NVR-1xxHxx-D (C) DS-HiLookI-HWN-21xxMHxx (C) DS-HiWatchI-HWN-21xxHxx ( C) | V4.30.300 compilación210221 – V4.31.100 compilación210511 |
Los usuarios deben descargar el firmware actualizado para protegerse contra esta posible vulnerabilidad. Está disponible en el sitio web oficial de Hikvision: Descarga de firmware
Evaluación de riesgos de CVE-2021-36260
Impacto:
- Explotable de forma remota: Sí
- Se requiere autenticación: ninguna
- Clic cero (no es necesaria ninguna acción por parte del propietario del dispositivo): Sí
- Hacer que el dispositivo no funcione: Sí
- Leer datos del cliente: sí
- Cambiar los datos del cliente: sí
- Último firmware vulnerable: Sí (a partir del 21 de junio de 2021)
- Últimos productos vulnerables: sí
- Vulnerabilidad de denegación de servicio: Sí
- Habilitar potencialmente el ataque físico en el sitio: Sí
- Ataque a la red interna: Sí
Fuente de información de vulnerabilidad:
El investigador de seguridad del Reino Unido Watchful IP informa de esta vulnerabilidad a HSRC.
Fuente: www.hikvision.com | ipvm.com | infoteknico.com