Wybrane wersje oprogramowania Hikvision iSecure Center zawierają podatność typu command injection wynikającą z niewystarczającej walidacji parametrów wejściowych. Podatność jest krytyczna — pozwala nieuwierzytelnionemu atakującemu przejąć kontrolę nad platformą i wykonać dowolne polecenia systemowe.
▸ Pokaż oryginał (EN)
Some versions of Hikvision's iSecure Center Product contain insufficient parameter validation, resulting in a command injection vulnerability. Attackers may exploit this to gain platform privileges and execute arbitrary commands on the system.iSecure Center is software released for China's domestic market only, with no overseas release.
Podatność (CWE-141 — niewystarczająca walidacja parametrów) polega na tym, że aplikacja nie filtruje odpowiednio danych dostarczanych przez użytkownika przed przekazaniem ich do interpretera poleceń systemowych. Atakujący może spreparować złośliwe żądanie sieciowe zawierające osadzone polecenia systemowe, które zostaną wykonane w kontekście platformy iSecure Center. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.
Atakujący może uzyskać uprawnienia platformy iSecure Center oraz wykonać dowolne polecenia na systemie operacyjnym hosta, co skutkuje pełną utratą poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-04/
Wybrane wersje oprogramowania Hikvision iSecure Center przeznaczonego wyłącznie na rynek chiński (brak wersji dostępnej poza granicami Chin). Dokładne numery wersji wskazane w referencjach producenta.
Produkt iSecure Center jest przeznaczony wyłącznie na rynek chiński — producent potwierdza brak dystrybucji poza Chinami, co ogranicza zasięg podatności do organizacji korzystających z tej wersji regionalnej.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H