SN 号HSRC-202403-01
编辑:海康威视安全响应中心(HSRC)
首次发布日期: 2024-03-01
概括
(1) 由于服务器端验证不充分,成功利用此漏洞可能使攻击者能够访问某些攻击者不应访问的 URL。
(2) 由于服务器端验证不充分,具有登录权限的攻击者可以通过更改参数值来访问某些攻击者不应访问的资源。
CVE ID
CVE-2024-25063
CVE-2024-25064
评分
采用 CVSS v3.1 对这些漏洞进行评分 (http://www.first.org/cvss/specification-document)
CVE-2024-25063
基础分数:7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
CVE-2024-25064
基础分数:4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
受影响的版本和修复
|
产品名称 |
CVE ID |
受影响的版本 |
|
HikCentral专业版 |
CVE-2024-25063 |
V2.5.1以下版本(含V2.5.1) |
|
HikCentral专业版 |
CVE-2024-25064 |
V2.0.0之后和V2.5.1之前的版本 |
获取固定版本
联系当地技术支持团队获取支持。
漏洞信息来源
Michael Dubell 和 Abdulazeez Omar 向 HSRC 报告了这些漏洞。
联系我们
要报告海康威视产品和解决方案中的任何安全问题或漏洞,请联系海康威视安全响应中心:[email protected]。
海康威视感谢所有安全研究人员对我们产品的关注。
原文始发于微信公众号(河南等级保护测评):海康威视修补安全管理系统中的高危漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论