Hikvision, proveedor líder en soluciones de videovigilancia y AIoT, ha revelado tres vulnerabilidades que afectan a su software HikCentral Master Lite y HikCentral Professional. Estas fallas podrían permitir a los atacantes ejecutar código malicioso, robar información sensible y alterar la operación del sistema.
- CVE-2024-47485 (CVSS 7.8): Esta vulnerabilidad de inyección de CSV permite a un atacante inyectar datos maliciosos en un archivo CSV, lo que podría derivar en la ejecución de comandos arbitrarios en el sistema.
- CVE-2024-47486 (CVSS 6.5): Un fallo de Cross-Site Scripting (XSS) que permite a un atacante inyectar scripts maliciosos en páginas web vistas por los usuarios, con el riesgo de robo de cookies de sesión o re dirección a sitios maliciosos.
- CVE-2024-47487 (CVSS 8.2): Una vulnerabilidad de inyección SQL que podría permitir a un atacante ejecutar consultas SQL maliciosas, obteniendo acceso no autorizado a datos sensibles o modificando el comportamiento del sistema.
| CVE | Productos afectados | Versiones afectadas | Solución |
| CVE-2024-47485 | HikCentral Master Lite. | Versiones entre V2.0.0 and V2.2.1. | Actualizar a la versión V2.3.0. |
| CVE-2024-47486 | HikCentral Master Lite. | Versiones inferiores a la V2.2.1 (incluida la V2.2.1). | Actualizar a la versión V2.3.0. |
| CVE-2024-47487 | HikCentral Professional. | Versiones entre V2.0.0 y V2.6.0. | Actualizar a la versión V2.6.1. |
Recomendaciones:
- Actualizar de inmediato a las versiones corregidas indicadas por Hikvision.
- Revisar regularmente los sistemas para detectar posibles signos de explotación.
- Implementar buenas prácticas de seguridad, como el monitoreo continuo y la segmentación de redes.
Referencias: