CRITICAL🇬🇧 English

CVE-2023-28815

Command injection w Hikvision iSecure Center — niewystarczalna walidacja parametrów

CVSS 9.8v3.1pub. 2025-10-17upd. 2026-04-15

Wybrane wersje oprogramowania Hikvision iSecure Center zawierają podatność typu command injection wynikającą z niewystarczającej walidacji parametrów wejściowych. Podatność jest krytyczna — pozwala nieuwierzytelnionemu atakującemu przejąć kontrolę nad platformą i wykonać dowolne polecenia systemowe.

Pokaż oryginał (EN)

Some versions of Hikvision's iSecure Center Product contain insufficient parameter validation, resulting in a command injection vulnerability. Attackers may exploit this to gain platform privileges and execute arbitrary commands on the system.iSecure Center is software released for China's domestic market only, with no overseas release.

🤖 Analiza AI
Jak działa

Podatność (CWE-141 — niewystarczająca walidacja parametrów) polega na tym, że aplikacja nie filtruje odpowiednio danych dostarczanych przez użytkownika przed przekazaniem ich do interpretera poleceń systemowych. Atakujący może spreparować złośliwe żądanie sieciowe zawierające osadzone polecenia systemowe, które zostaną wykonane w kontekście platformy iSecure Center. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może uzyskać uprawnienia platformy iSecure Center oraz wykonać dowolne polecenia na systemie operacyjnym hosta, co skutkuje pełną utratą poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-04/

Kogo dotyczy

Wybrane wersje oprogramowania Hikvision iSecure Center przeznaczonego wyłącznie na rynek chiński (brak wersji dostępnej poza granicami Chin). Dokładne numery wersji wskazane w referencjach producenta.

Uwagi

Produkt iSecure Center jest przeznaczony wyłącznie na rynek chiński — producent potwierdza brak dystrybucji poza Chinami, co ogranicza zasięg podatności do organizacji korzystających z tej wersji regionalnej.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje