Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK) Log File access/html/system.html Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.9 | $0-$5k | 0.12 |
Es wurde eine Schwachstelle in Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK) ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es ein unbekannter Codeteil der Datei access/html/system.html der Komponente Log File Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Auswirkungen hat dies auf die Vertraulichkeit.
Die Schwachstelle wurde am 16.12.2023 durch willchen publiziert. Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird mit CVE-2023-6894 vorgenommen. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1592 aus.
Unter github.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Durch die Suche von inurl:access/html/system.html können potentiell verwundbare Systeme gefunden werden.
Ein Aktualisieren auf die Version 4.1.0 vermag dieses Problem zu lösen.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 4.9
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔒
CNA Base Score: 4.3
CNA Vector (VulDB): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
Google Hack: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Intercom Broadcasting System 4.1.0
Timeline
16.12.2023 Advisory veröffentlicht16.12.2023 CVE zugewiesen
16.12.2023 VulDB Eintrag erstellt
11.01.2024 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: github.comPerson: willchen
Status: Bestätigt
CVE: CVE-2023-6894 (🔒)
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 16.12.2023 16:22Aktualisierung: 11.01.2024 20:08
Anpassungen: 16.12.2023 16:22 (42), 18.12.2023 15:36 (7), 18.12.2023 15:38 (1), 19.12.2023 10:08 (1), 11.01.2024 20:01 (2), 11.01.2024 20:08 (28)
Komplett: 🔍
Einsender: willchen
Editor: willchen
Submit
Akzeptiert
- Submit #249253: Hangzhou Hikvision Digital Technology Co., Ltd. IP network intercom broadcasting system V3.0.3_20201113_RELEASE(HIK) Unauthorized access (von willchen)
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.