Hikvision High Severity Vulnerability November 2023 Analyzed
********* *** ********* * ****-******** ************* this *****, ********* * **** ***** of *** **** *** ****.
**** ****** ******** *** ********* ***** and **** ********* ** *** ********* vulnerability ** **** ** *** **** demonstrates **** ****** ****** *********.
Poor *********
**** ************* ************** ****** ********* **** **** ****** methods, **** ** ****** ********* ****** functions **** ** *** ***** *** input ** *** ****** **** **** functions **** ****** **** *** ***** data ****** ** **** **** *** buffer *** ******.
*********'* ****** ******** ************* ************ **** secure ****** *********, **** **** ***** in ***** **** ********.
Executive *******
***** *** ************* *** * **** impact, *** ********* **** ** *** because ** ******** **** ****** *** same ***** **** ******* (***) *** send ******* ** *** ******** ***** function ** ***** * ****** ********.
********** ************ ** **** ****** ***** cause * ******* ** *** ***/***. However, ** **** *** ** ******** could ******* ******** **** ******* ***** require *** **-******** ** *** ************* with ******** ** *** ********** ******* - *********** *** ******** *********.
Hikvision **********
*** ************* *** ********** *** ******** to ********* ******** **************, ***.********* ********* ********* ******** ** ******** **, ****, ****** *** ***** ** *** the *************:
********* *** ******** * ***** ** fix * ****** ******** ************* ** the ******** ******** ******* ** ********* NVR/DVR ******. ** *********, ** ******** on *** **** ***** **** ******* (LAN) ***** ***** *** ****** ** malfunction ** ******* ********* ******* ******* to ** ********* ******.
*** ****** **** ******** ** ********* vulnerabilities:
- ******** *************** ** ********* ***-*******, ********* Hides **** ******
- ********* ****** ******* *************** ********
- ********* ******** ************* ********** *** ********
- ************* ********* ***,*** ********* *** *** Devices ******
Analysis ** ****** ******** ***-****-*****
*** **** ************** ** *********'* ******** advisory *** **** ** **** *** buffer ******** ************* *** *** **** been ********** ************ ** *** ** it ***** ** ******* ********* ******* confidentiality *** ********* *** *** ** none.
****, ***** **** **** ************ *** how * ****** ********* ****** ** buffer *********, **** ***** *** *********** to *****. ** ******* ***** **** Hikvision, *** ******** ********** **** ****** the ******.
****** ********** **** * ******* ******** **** data **** ** *** ******, *** that ***** **** ****** ********** ********, such ** ** *********** ** ******* crash.
**** ***** ******** *** **** ********** the ************* *** ******* **** ***** investigate ** ********* *** ******. *******, they *** *** ******* ** *** time ** ***********. **** *** ** they **, ** **** ****** **** report.
CVSS *******
- Attack ******
- ********, *** ****** *** **** ** executed **** ***** **** ******* (***)
- Attack **********
- ***, *** ******** *** ****** ********** success.
- Privileges ********
- ****, ********** *** *** ******** ** exploit.
- User ***********
- ****, **** *********** ** *** ******.
- *****
- *******, *** ********** ********* *** *** impacted ********* *** *********.
- **************
- ****, ** **** ** ************** ****** the ******** *********.
- *********
- ****, ** **** ** ********* ****** the ******** *********.
- ************
- ****, *** ******** *** **** ****** to *** ******** ********.
NIST/NVD **** *** ********
****/****** *** ******* *** ******* *** official ****** ***********. **** ** *** **** analyzed *** *******, ** **** ****** this ******.
Vulnerable *** / *** ******
*** ************* ******* ** *** *** 18 *** ******.
**** ********** **** ********* ************ ******** ***********.