Yayınlanma tarihi : 23 Haziran 2022
Özet :
Hikvision Hybrid SAN/Cluster storage ürünlerinin web modülünde aşağıdaki güvenlik zaafiyeti tespit edilmiştir.
- Yetersiz giriş doğrulaması nedeniyle, saldırgan, etkilenen cihaza kötü amaçlı komutlar içeren mesajlar göndererek kısıtlı komutları yürütmek için güvenlik açığından yararlanabilir.
- Yetersiz giriş doğrulaması nedeniyle, saldırgan, etkilenen cihaza kötü amaçlı komutlar içeren mesajlar göndererek XSS saldırısına yönelik güvenlik açığından yararlanabilir.
CVE ID :
CVE-2022-28171
CVE-2022-28172
CVE Skoru :
CVE-2022-28171
Baz skor: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Geçici skor: 6.7 (/E:P/RL:O/RC:C)
CVE-2022-28172
Baz skor: 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N)
Geçici skor: 5.9 (E:P/RL:O/RC:C)
Etkilenen versiyonlar:
Ürün kodu | Etkilenen versiyon |
DS-A71024/48/72R | V2.3.8-6 (V2.3.8-6 dahil) versiyonu ve alt versiyonlar |
DS-A80624S | V2.3.8-6 (V2.3.8-6 dahil) versiyonu ve alt versiyonlar |
DS-A81016S | V2.3.8-6 (V2.3.8-6 dahil) versiyonu ve alt versiyonlar |
DS-A72024R/72R | V2.3.8-6 (V2.3.8-6 dahil) versiyonu ve alt versiyonlar |
DS-A80316S | V2.3.8-6 (V2.3.8-6 dahil) versiyonu ve alt versiyonlar |
DS-A82024D | V2.3.8-6 (V2.3.8-6 dahil) versiyonu ve alt versiyonlar |
DS-A71024/48R-CVS | V1.1.4 (V1.1.4 dahil) versiyonu ve alt versiyonlar |
DS-A72024/48R-CVS | V1.1.4 (V1.1.4 dahil) versiyonu ve alt versiyonlar |
Saldırı için ön koşul :
Saldırganın cihaza ağ erişimi olması
Atak adımı :
Özel hazırlanmış kötü niyetli mesaj
Zaafiyet tespiti yapan : Bağımsız güvenlik araştırmacısı Thurein Soe tarafından HSRC’ye raporlanmıştır.
Zaafiyeti nasıl gideririm ?
adresinden yama/güncelleme indirip, güncelleme yapmalısınız.