海康威视修补安全管理系统中的高危漏洞

阅读量14048

发布时间 : 2024-03-05 12:12:44




HikCentral Professional 中的高严重性漏洞可能会导致对某些 URL 进行未经授权的访问。

中国视频监控设备制造商海康威视宣布修补其安全管理系统 HikCentral Professional 中的两个漏洞。

这些缺陷中最重要的是 CVE-2024-25063,这是一个高严重性缺陷,可能导致对某些 URL 进行未经授权的访问。该错误影响 HikCentral Professional 版本 2.5.1 及更低版本。

海康威视在其通报中指出:“由于服务器端验证不足,成功利用此漏洞可能会让攻击者获得对攻击者不应访问的某些 URL 的访问权限。”

HikCentral Professional 用于管理视频、访问控制、报警检测和其他安全系统。目前尚不清楚攻击者可以通过利用该漏洞访问什么类型的数据,以及他们是否可以从暴露的网页控制或破坏安全系统。

第二个错误 CVE-2024-25064 的严重性评级为“中”,因为它需要身份验证才能利用。从版本 2.0.0 到 2.5.1 的所有 HikCentral Professional 迭代都会受到影响。

海康威视解释说,由于服务器端验证不足,CVE-2024-25064 也存在,允许登录的攻击者通过修改参数值来访问他们不应访问的资源。

这家中国制造商称赞安全研究人员 Michael Dubell 和 Abdulazeez Omar 发现并报告了这些漏洞,并表示过去几个月一直在与他们合作修复漏洞并验证缓解措施。

海康威视在发给合作伙伴的通知信中指出:“虽然海康威视并不知道这些漏洞在现场被利用,但我们鼓励我们的合作伙伴按照通报中提供的指导与客户合作,以确保适当的网络安全。”

建议所有客户尽快应用可用补丁,因为已知海康威视产品中的漏洞已被恶意攻击利用。


分享到:微信
+16赞
收藏
ISC6196381205
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66