Actualice su firmware para continuar protegiendo y asegurando su equipo.
Notificación de seguridad – Vulnerabilidad a la inyección de comandos críticos en algunos productos Hikvision
SN No.: HSRC-202109-01
Edición: Hikvision Security Response Center (HSRC)
Fecha de lanzamiento inicial: 2021-09-19
Resumen:
Una vulnerabilidad de inyección de comandos en el servidor web de algún producto de Hikvision. Debido a la insuficiente validación de entrada, el atacante puede aprovechar la vulnerabilidad para lanzar un ataque de inyección de comandos mediante el envío de algunos mensajes con comandos maliciosos.
CVE ID:
CVE-2021-36260
Scoring:
Se adopta CVSS v3 en esta puntuación de vulnerabilidad(http://www.first.org/cvss/specification-document)
Puntuación básica: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Puntuación temporal: 8.8 (E:P/RL:O/RC:C)
Versiones afectadas y versión resuelta:
Información de versiones afectadas y versiones resueltas:
対象製品
対象バージョン
DS-2CD2xx6G2
DS-2CD2xx6G2(C)
DS-2CD2xx7G2
DS-2CD2xx7G2(C)
Versiones que su construcción fue tiempo antes 210625
DS-2CD2x21G0
DS-2CD2x21G0(C)
DS-2CD2x21G1
DS-2CD2x21G1(C)
(i)DS-2DExxxx
DS-76xxNI-K1xx(C)
V4.30.210 Construcción201224 – V4.31.000 Construcción210511
DS-71xxNI-Q1xx(C)
V4.30.300 Construcción210221 – V4.31.100 Construcción210511
Condición previa:
El atacante tiene acceso a la red del dispositivo o el dispositivo tiene una interfaz directa con Internet
Paso de ataque:
Envía un mensaje especialmente diseñado.
Obtención de firmware fijo:
Los usuarios deben descargar el firmware actualizado para protegerse contra esta posible vulnerabilidad. Está disponible en el sitio web oficial de Hikvision: Descarga de firmware
Fuente de información de vulnerabilidad:
Esta vulnerabilidad ha sido informada a HSRC por el investigador de seguridad del Reino Unido, Watchful IP.
Contáctenos:
Si tiene un problema o inquietud de seguridad, comuníquese con el Centro de respuesta de seguridad de Hikvision en [email protected]
2021-09-19 V1.0 INICIAL
2021-09-23 V1.1 ACTUALIZADO: Versiones afectadas actualizadas
2021-09-24 V1.2 ACTUALIZADO: Versiones afectadas actualizadas