Múltiples Vulnerabilidades en Productos Hikvision

Hikvision, proveedor líder en soluciones de videovigilancia y AIoT, ha revelado tres vulnerabilidades que afectan a su software HikCentral Master Lite y HikCentral Professional. Estas fallas podrían permitir a los atacantes ejecutar código malicioso, robar información sensible y alterar la operación del sistema.

  • CVE-2024-47485 (CVSS 7.8): Esta vulnerabilidad de inyección de CSV permite a un atacante inyectar datos maliciosos en un archivo CSV, lo que podría derivar en la ejecución de comandos arbitrarios en el sistema.
  • CVE-2024-47486 (CVSS 6.5): Un fallo de Cross-Site Scripting (XSS) que permite a un atacante inyectar scripts maliciosos en páginas web vistas por los usuarios, con el riesgo de robo de cookies de sesión o re dirección a sitios maliciosos.
  • CVE-2024-47487 (CVSS 8.2): Una vulnerabilidad de inyección SQL que podría permitir a un atacante ejecutar consultas SQL maliciosas, obteniendo acceso no autorizado a datos sensibles o modificando el comportamiento del sistema.
CVEProductos afectadosVersiones afectadasSolución
CVE-2024-47485 HikCentral Master Lite.Versiones entre V2.0.0 and V2.2.1.Actualizar a la versión V2.3.0.
CVE-2024-47486 HikCentral Master Lite.Versiones inferiores a la V2.2.1 (incluida la V2.2.1).Actualizar a la versión V2.3.0.
CVE-2024-47487 HikCentral Professional.Versiones entre V2.0.0 y V2.6.0.Actualizar a la versión V2.6.1.

Recomendaciones:

  • Actualizar de inmediato a las versiones corregidas indicadas por Hikvision.
  • Revisar regularmente los sistemas para detectar posibles signos de explotación.
  • Implementar buenas prácticas de seguridad, como el monitoreo continuo y la segmentación de redes.

Referencias: