Hikvision a récemment annoncé des vulnérabilités de sécurité dans les dispositifs NVR : 

1. Il existe une vulnérabilité de déréférencement de pointeur NULL dans certains NVR Hikvision. En raison d'une validation insuffisante d'un paramètre dans un message, un attaquant peut envoyer des messages spécialement conçus à un produit affecté, provoquant une anomalie de processus.

 
2. Certains NVR Hikvision présentent une vulnérabilité de lecture hors limites. Un attaquant authentifié pourrait exploiter cette vulnérabilité en envoyant des messages spécialement conçus à un dispositif vulnérable, ce qui provoquerait une anomalie de service.

3. Il existe une vulnérabilité d'injection de commande dans certains NVR Hikvision. Cette vulnérabilité pourrait permettre à un utilisateur authentifié disposant de droits d'administration d'exécuter des commandes arbitraires.
Hikvision recommande aux utilisateurs de mettre en place des mots de passe complexes pour les dispositifs afin d'atténuer la possibilité d'exploitation des vulnérabilités susmentionnées.

Identifiants CVE : CVE-2024-29947, CVE-2024-29948, CVE-2024-29949

Les scores : 

CVSS v3.1 is adopted in scoring these vulnerabilities (http://www.first.org/cvss/specification-document)

CVE-2024-29947 

Base score: 2.7 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L)

CVE-2024-29948

Base score: 3.8 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:L) 

CVE-2024-29949

Base score: 7.2 (CVSS:3.1/ AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

Vous pouvez retrouver les mises à jour avec lien suivant : https://www.hikvision.com/en/support/download/firmware/

Pour toutes questions, vous pouvez également contacter Hikvision à l'adresse suivante : [email protected]