← voltar
CVE-2021-36260

CVE-2021-36260

CVSS 9.8 CRITICALEPSS 99.9%● KEVCWE-78
Em resumo

Um servidor web Hikvision não valida corretamente a entrada do usuário, permitindo que atacantes injetem comandos maliciosos que são executados no servidor. Isso pode dar aos atacantes controle total do dispositivo afetado.

Detalhe técnico

Vulnerabilidade de injeção de comando (CWE-78) no servidor web de produtos Hikvision causada por validação insuficiente de entrada. Um atacante não autenticado pode enviar mensagens contendo comandos de sistema operacional maliciosos que são executados com privilégios do servidor, resultando em comprometimento total do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input validation, attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a
PoCs públicas encontradas16
githubgithub.com/tamim1089/HikvisionExploiter363githubgithub.com/Aiminsun/CVE-2021-36260293githubgithub.com/Cuerz/CVE-2021-36260167githubgithub.com/TaroballzChen/CVE-2021-36260-metasploit20githubgithub.com/rabbitsafe/CVE-2021-3626016githubgithub.com/tuntin9x/CheckHKRCE7githubgithub.com/NanoTrash/hikvision_brute3githubgithub.com/aengussong/hikvision_probe3githubgithub.com/yanxinwu946/hikvision-unauthenticated-rce-cve-2021-362602githubgithub.com/haingn/HIK-CVE-2021-36260-Exploit1githubgithub.com/saaydmr/hikvision-exploiter1githubgithub.com/code-msga/HikvisionExploiter_fixed0githubgithub.com/shubtheone/CVE-2021-36260-hikvision0exploitdbwww.exploit-db.com/exploits/50441não verificadocve_referencepacketstormsecurity.com/files/166167/Hikvision-IP-Camera-Unauthenticated-Command-Injection.htmlnão verificadocve_referencepacketstormsecurity.com/files/164603/Hikvision-Web-Server-Build-210702-Command-Injection.htmlnão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://packetstormsecurity.com/files/164603/Hikvision-Web-Server-Build-210702-Command-Injection.htmlhttp://packetstormsecurity.com/files/166167/Hikvision-IP-Camera-Unauthenticated-Command-Injection.htmlhttps://therecord.media/experts-warn-of-widespread-exploitation-involving-hikvision-cameras/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-36260https://www.cyfirma.com/wp-content/uploads/2022/08/HikvisionSurveillanceCamerasVulnerabilities.pdfhttps://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/