0x01 海康威视
海康威视是一家专注技术创新的科技公司,海康威视专注于物联感知、人工智能和大数据领域的技术创新,提供软硬融合、云边融合、物信融合、数智融合的智能物联系列化软硬件产品,具备大型复杂智能物联系统建设的全过程服务能力。业务覆盖全球150多个国家和地区。
0x02 漏洞概述
近日,海康威视发布安全公告,修复了多个存在于海康威视中的漏洞。其中,1个高危漏洞,1个中危漏洞。
-
CVE-2022-28171
海康威视部分混合SAN/集群存储产品命令执行漏洞,由于输入验证不足,攻击者可以利用该漏洞向受影响设备发送带有恶意命令的消息来执行受限命令。
-
CVE-2022-28172
海康威视部分混合SAN/集群存储产品跨站脚本漏洞,由于输入验证不足,攻击者可以利用该漏洞向受影响设备发送带有恶意命令的消息进行跨站攻击。
影响版本范围:
-
DS-A72024/48R-CVS - 海康威视
<=1.1.4
-
DS-A71024/48/72R - 海康威视
<=2.3.8-6
-
DS-A80624S - 海康威视
<=2.3.8-6
-
DS-A81016S - 海康威视
<=2.3.8-6
-
DS-A72024/72R - 海康威视
<=2.3.8-6
-
DS-A80316S - 海康威视
<=2.3.8-6
-
DS-A82024D - 海康威视
<=2.3.8-6
-
DS-A71024/48R-CVS - 海康威视
<=1.1.4
0x03 漏洞信息
1、海康威视部分混合SAN/集群存储产品命令执行漏洞
漏洞编号:CVE-2022-28171
漏洞POC:未知
漏洞EXP:未知
漏洞细节:未知
危害等级:高危
漏洞类型:命令执行
2、海康威视部分混合SAN/集群存储产品跨站脚本漏洞
漏洞编号:CVE-2022-28171
漏洞POC:已知
漏洞EXP:未知
漏洞细节:未知
危害等级:中危
漏洞类型:跨站脚本攻击(XSS)
0x04 修复方案
官方修复方案:
目前海康威视官方已发布新版本修复该漏洞,请受影响用户尽快更新进行防护
原文始发于微信公众号(寻云安全团队):【漏洞报送】海康威视存在多个安全漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论