Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades críticas que afectan a varios productos de Hikvision, que permitirían realizar ejecución remota de código (RCE) y ataques del tipo cross-site scripting (XSS).
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta”, y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2022-28171 de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en la validación de datos de entrada del dispositivo. Un atacante podría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-28172 de severidad alta, con una puntuación asignada de 6.5. Esta vulnerabilidad se debe a una falla en la validación de datos de entrada del dispositivo. Un atacante podría realizar ataques del tipo cross-site scripting (XSS), enviando comandos con código malicioso al dispositivo afectado.
Los productos afectados de Hikvision son:
- Versiones V2.3.8-6 y anteriores de:
- DS-A71024/48/72R, DS-A80624S, DS-A81016S, DS-A72024/72R, DS-A80316S, DS-A82024D.
- Versiones V1.1.4 y anteriores de:
- DS-A71024/48R-CVS, DS-A72024/48R-CVS.
Recomendamos instalar las actualizaciones correspondientes provistas por Hikvision en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-productos-hikvision
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28171
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28172
- https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-vulnerability-in-some-hikvision-hybrid-san-products/
- https://www.hikvision.com/content/dam/hikvision/en/support/cybersecyrity/security-advisory/Patch-for-Fixing-Security-Vulnerability-of-Hybrid-SAN-&-Cluster-Storage.zip