![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科海康威视 HikCentral 曝安全漏洞,攻击者可绕过管理员权限](https://www.anquan114.com/wp-content/uploads/2024/12/20241223180043950-image.png)
网络安全研究人员警告,海康威视HikCentral软件中存在三个漏洞,该软件是广泛应用于视频监控、门禁控制和集成安全运营的集中管理平台。
这三个漏洞分别是:
- CVE-2025-39245(基础评分4.7):部分HikCentral Master Lite版本存在CSV注入漏洞,攻击者可通过恶意CSV数据注入可执行命令。
- CVE-2025-39246(基础评分5.3):部分HikCentral FocSign版本存在未加引号的服务路径漏洞,已认证用户可能通过本地访问实现权限提升。
- CVE-2025-39247(基础评分8.6):部分HikCentral Professional版本存在访问控制漏洞,未认证用户可获取管理员权限。
其中,CVE-2025-39247被评定为高风险等级,它允许未经任何认证的用户完全接管HikCentral Professional系统。当攻击者甚至无需登录即可提升其权限时,他们实质上就掌控了整个环境。这为操纵配置、篡改日志甚至关闭关键监控功能开辟了直接路径。
HikCentral是许多组织安全基础设施的核心。公司依赖它来管理监控摄像头、控制建筑物出入并将来自多个设备的数据集成到一个统一的平台中。攻击者可以利用此权限提升漏洞接管这些功能。一旦攻击者提升了权限,他们就可以以管理员身份操作、安装恶意软件、创建隐藏账户或窃取敏感信息。想象一下这样的场景:攻击者在物理入侵期间关闭摄像头、解锁受限门禁或修改审计日志以隐藏证据。这种场景对受影响组织的安全和业务连续性构成了严重威胁。
受影响的版本及修复版本如下:
| 产品名称 | CVE 编号 | 受影响版本 | 修复版本 |
|---|---|---|---|
| HikCentral Master Lite | CVE-2025-39245 | V2.2.1 至 V2.3.2 | V2.4.0 |
| HikCentral FocSign | CVE-2025-39246 | V1.4.0 至 V2.2.0 | V2.3.0 |
| HikCentral Professional | CVE-2025-39247 | V2.3.1 至 V2.6.2 及 V3.0.0 | V2.6.3/V3.0.1 |
运行这些版本的组织应将此披露视为一个警示。
就HikCentral而言,风险更高是因为攻击者甚至无需先进行身份验证。他们可以匿名访问系统,利用该漏洞,并立即获得提升的控制权。这种绕过行为削弱了对标准认证过程的所有信任。
厂商已发布修复指南,最好的应对措施是立即应用更新。HikCentral管理员应:
- 在应用更新的同时加固环境:限制系统的外部暴露。
- 检查其部署的版本号:如果版本处于受影响范围内,则需要关注。
- 下载并安装海康威视在其官方安全公告中提供的最新补丁。
消息来源: securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容