HikCentral Professional 中的高严重性漏洞可能会导致对某些 URL 进行未经授权的访问。
中国视频监控设备制造商海康威视宣布修补其安全管理系统 HikCentral Professional 中的两个漏洞。
这些缺陷中最重要的是 CVE-2024-25063,这是一个高严重性缺陷,可能导致对某些 URL 进行未经授权的访问。该错误影响 HikCentral Professional 版本 2.5.1 及更低版本。
海康威视在其通报中指出:“由于服务器端验证不足,成功利用此漏洞可能会让攻击者获得对攻击者不应访问的某些 URL 的访问权限。”
HikCentral Professional 用于管理视频、访问控制、报警检测和其他安全系统。目前尚不清楚攻击者可以通过利用该漏洞访问什么类型的数据,以及他们是否可以从暴露的网页控制或破坏安全系统。
第二个错误 CVE-2024-25064 的严重性评级为“中”,因为它需要身份验证才能利用。从版本 2.0.0 到 2.5.1 的所有 HikCentral Professional 迭代都会受到影响。
海康威视解释说,由于服务器端验证不足,CVE-2024-25064 也存在,允许登录的攻击者通过修改参数值来访问他们不应访问的资源。
这家中国制造商称赞安全研究人员 Michael Dubell 和 Abdulazeez Omar 发现并报告了这些漏洞,并表示过去几个月一直在与他们合作修复漏洞并验证缓解措施。
海康威视在发给合作伙伴的通知信中指出:“虽然海康威视并不知道这些漏洞在现场被利用,但我们鼓励我们的合作伙伴按照通报中提供的指导与客户合作,以确保适当的网络安全。”
建议所有客户尽快应用可用补丁,因为已知海康威视产品中的漏洞已被恶意攻击利用。
转载自安全客