Se ha reportado una vulnerabilidad de severidad crítica identificada como CVE-2023-6895 (CVSS: 9.8) en HikVision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK). Esta vulnerabilidad afecta a código desconocido del archivo /php/ping.php y permite la inyección de comandos del sistema operativo.
Productos afectados:
Versiones desde el 3.0.3 y excluyendo el 4.1.0
- cpe:2.3:o:hikvision:intercom_broadcast_system.
- cpe:2.3:h:hikvision:ds-kd-bk.
- cpe:2.3:h:hikvision:ds-kd-dis.
- cpe:2.3:h:hikvision:ds-kd-e.
- cpe:2.3:h:hikvision:ds-kd-in.
- cpe:2.3:h:hikvision:ds-kd-info.
- cpe:2.3:h:hikvision:ds-kd-kk.
- cpe:2.3:h:hikvision:ds-kd-kk\/s.
- cpe:2.3:h:hikvision:ds-kd-kp.
- cpe:2.3:h:hikvision:ds-kd-kp\/s.
- cpe:2.3:h:hikvision:ds-kd-m.
- cpe:2.3:h:hikvision:ds-kd3003-e6.
- cpe:2.3:h:hikvision:ds-kd8003ime1\(b\).
- cpe:2.3:h:hikvision:ds-kd8003ime1\(b\)\/flush.
- cpe:2.3:h:hikvision:ds-kd8003ime1\(b\)\/ns.
Observación: Actualmente existe un exploit liberado al público para esta vulnerabilidad.
Recomendación:
Actualizar el software afectado a la última versión, lo que corrige esta vulnerabilidad. Utilizar un sistema sin parchear representa una explotación inminente de dicha vulnerabilidad. https://www.hikvision.com/it/support/download/software/
Enlaces de referencia: