安全公告-海康威视部分通用CVR\CVS产品存在安全漏洞
公告编号:HSRC-202304-01
公告来源:海康威视安全应急响应中心
初始发布时间:2023-04-10
漏洞概述:
海康威视部分通用CVR\CVS产品中的web模块存在以下安全漏洞,
攻击者可通过构造特制的报文发送到受影响设备,
成功利用此漏洞可获取设备的管理员权限。
海康威视已发布版本修复该漏洞。
漏洞编号:
CVE-2023-28808
漏洞评分:
该漏洞使用CVSS v3标准进行分级评分(http://www.first.org/cvss/specification-document)
基础得分:9.1(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
临时得分:8.2(E:P/RL:O/RC:C)
影响版本和修复版本:
| 受影响设备名称 | 受影响版本号 | 修复程序下载说明 |
| DS-A71024/36/48/72R | V2.3.9-3及之前版本 | 补丁包及操作说明下载 |
| DS-A80624/36/48S | ||
| DS-A81016S | ||
| DS-A72024/36/48/72R | ||
| DS-A80216S | ||
| DS-A80316S | ||
| DS-A82024D | ||
| iVMS-3000C-H04/16/24 | ||
| DS-A71024/36/48R-CVS | V1.1.4及之前版本 | 可以联系所在城市分公司(点击查看联系方式)或海康客服(点击咨询)获取支持 |
| DS-A72024/36/48R-CVS | ||
| DS-A82024D-CVS | ||
| DS-A81016S-CVS |
前提条件:
攻击者可连接到设备网络
攻击步骤:
发送特制的恶意报文
版本获取途径:
用户可通过海康威视官网获取补丁/更新版本。
漏洞来源:
该漏洞是由印度Redinent Innovations团队的Souvik Kandar\Arko Dhar报告。
同时也感谢印度国家计算机应急响应团队(CERT-In)专业且负责地与海康威视HSRC一同协调处理了该漏洞。
联系渠道:
关于海康威视产品和解决方案的安全问题,可通过 hsrc@hikvision.com联系HSRC。
海康威视对所有关注我司产品的安全研究人员表示感谢!