Vulnerabilidades en productos Hikvision |

23/06/2022

Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades críticas que afectan a varios productos de Hikvision, que permitirían realizar ejecución remota de código (RCE) y ataques del tipo cross-site scripting (XSS).

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta”, y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:

CVE-2022-28171 de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en la validación de datos de entrada del dispositivo. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
CVE-2022-28172 de severidad alta, con una puntuación asignada de 6.5. Esta vulnerabilidad se debe a una falla en la validación de datos de entrada del dispositivo. Un atacante podría realizar ataques del tipo cross-site scripting (XSS), enviando comandos con código malicioso al dispositivo afectado.

Los productos afectados de Hikvision son:

Versiones V2.3.8-6 y anteriores de:
DS-A71024/48/72R, DS-A80624S, DS-A81016S, DS-A72024/72R, DS-A80316S, DS-A82024D.
Versiones V1.1.4 y anteriores de:DS-A71024/48R-CVS, DS-A72024/48R-CVS.

Recomendamos instalar las actualizaciones correspondientes provistas por Hikvision en el siguiente enlace:

https://www.hikvision.com/content/dam/hikvision/en/support/cybersecyrity/security-advisory/Patch-for-Fixing-Security-Vulnerability-of-Hybrid-SAN-&-Cluster-Storage.zip

Fuente: CERT-PY

https://www.cert.gov.py/noticias/vulnerabilidades-en-productos-hikvision

Vulnerabilidades en productos Hikvision

Vulnerabilidades de escalamiento de privilegios en Zoom

Finalización de soporte y de actualizaciones de seguridad para productos Microsoft

Vulnerabilidad de ejecución remota de código (RCE) en CentOS

Vulnerabilidad de inyección SQL en ManageEngine

Vulnerability Summary for the Week of January 2, 2023

Vulnerability Summary for the Week of December 26, 2022

Más Historias