监测发现,海康威视部分产品中的web模块存在一个命令注入漏洞,由于对输入参数校验不充分,攻击者可以发送带有恶意命令的报文到受影响设备,成功利用此漏洞可以导致命令执行。
影响产品:易受攻击的网络摄像机固件
IPC_E0 IPC_E0_CN_STD_5.4.6_180112
IPC_E1
IPC_E2 IPC_E2_EN_STD_5.5.52_180620
IPC_E4
IPC_E6 IPCK_E6_EN_STD_5.5.100_200226
IPC_E7 IPCK_E7_EN_STD_5.5.120_200604
IPC_G3 IPC_G3_EN_STD_5.5.160_210416
IPC_G5 IPC_G5_EN_STD_5.5.113_210317
IPC_H1 IPC_H1_EN_STD_5.4.61_181204
IPC_H5 IPCP_H5_EN_STD_5.5.85_201120
IPC_H8 Factory installed firmware mid 2021
IPC_R2 IPC_R2_EN_STD_V5.4.81_180203
易受攻击的PTZ 摄像机固件
IPD_E7 IPDEX_E7_EN_STD_5.6.30_210526
IPD_G3 IPDES_G3_EN_STD_5.5.42_210106
IPD_H5 IPD_H5_EN_STD_5.5.41_200911
IPD_H7 IPD_H7_EN_STD_5.5.40_200721
IPD_H8 IPD_H8_EN_STD_5.7.1_210619
解决方案:目前海康威视官方已发布新版本修复该漏洞,请尽快更新进行防护。
参考链接:https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/20210919/
