Múltiples vulnerabilidades en productos Hikvision
- LocalServiceComponents, versiones 1.0.0.78 y anteriores.
- Consultar las versiones afectadas de los distintos productos listados en HSRC-202311-03.
Algunos productos de Hikvision se han visto afectados por una vulnerabilidad de omisión de autenticación en el módulo Hik-Connect, que podría permitir a atacantes remotos consumir servicios enviando mensajes manipulados a los dispositivos afectados.
- Actualizar LocalServiceComponents a la versión 1.0.0.81.
- Para el resto de productos afectados, visitar la página oficial de Hikvision para obtener la última versión de firmware.
La vulnerabilidad crítica, de tipo desbordamiento de búfer en el complemento de navegador web LocalServiceComponents, podría permitir a un atacante enviar mensajes maliciosos a equipos instalados con este complemento, lo que podría conducir a la ejecución de código arbitrario o provocar la excepción del proceso del complemento. Se ha asignado el identificador CVE-2023-28812 para esta vulnerabilidad.
El resto de vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2023-28813 y CVE-2023-48121.