Se han reportado 3 vulnerabilidades en dispositivos del tipo NVR de Hikvision, 1 vulnerabilidad de severidad alta y 2 bajas.
La vulnerabilidad de severidad alta está identificada como CVE-2024-29949 (CVSS 7.2) del tipo inyección de comandos presente en algunos NVR de Hikvision. La explotación de dicha vulnerabilidad podría permitir que un usuario autenticado con derechos administrativos ejecutara comandos arbitrarios.
Y las vulnerabilidades bajas están identificadas como CVE-2024-29948 (CVSS 3.8) vulnerabilidad del tipo lectura fuera de límites y, CVE-2024-29947 (CVSS 2.7), vulnerabilidad del tipo null pointer, provocada por una validación insuficiente de un parámetro en un mensaje. En ambas un actor malicioso podría enviar peticiones especialmente diseñadas al dispositivo afectado, provocando un comportamiento anormal en los procesos internos del NVR.
Productos afectados:
- DS-7604NI-K1/4P(B), v4.30.096 build221220 y versiones anteriores.
- DS-7604NXI-K1/4P, v4.76.005 build231012 y versiones anteriores.
- Versiones posteriores a V5.00.000 (incluida V5.00.000) y anteriores a V5.02.006 (sin incluir V5.02.006) en:
- DS-76xxNI-Mx
- DS-77xxNI-Mx
- DS-96xxxNI-Mxx
- DS-76xxNXI-Ix
- DS-77xxNXI-Ix
- DS-86xxNXI-Ix
- DS-96xxNXI-Ix
- iDS-76xxNXI-Mx
- iDS-77xxNXI-Mx
- iDS-96xxxMXI-Mxx
- DS-7604NI-M1/4P, versiones posteriores a V5.00.000 (incluida V5.00.000) y anteriores a V5.01.070 (sin incluir V5.01.070).
Recomendaciones:
- Se recomienda aplicar las actualizaciones proveídas por el fabricante de los NVRs afectados a la última versión disponible lo antes posible.
Referencias: