28 Ağustos 2025’te, Hikvision Güvenlik Müdahale Merkezi (HSRC), çeşitli Hikcentral ürünleri etkileyen üç kritik güvenlik açıklarını detaylandıran HSRC-202508-01 SN No. HSRC-202508-01 yayınladı.
Toplu olarak atanan CVE tanımlayıcıları CVE-2025-39245, CVE-2025-39246 ve CVE-2025-39247, bu güvenlik açıkları orta ila yüksekten şiddetle değişir ve saldırganların yetkilendirilmemiş komutlar yürütmesini, arttırıcı ayrıcalıkları artırmasını veya idari erişim elde etmesini sağlayabilir.
İlk güvenlik açığı olan CVE-2025-39245, Hikcentral Master Lite sürümlerinde 2.2.1 ila 2.3.2’de keşfedilen bir CSV enjeksiyon güvenlik açığıdır.
Etkilenen sürümlerde, kötü niyetli olarak hazırlanmış CSV dosyaları, elektronik tablo uygulamaları tarafından açıldığında yürütülen formülleri veya komutları içerebilir.
Yürütülebilir kodu CSV alanlarına yerleştirerek, bir saldırgan operatörleri, dışa aktarılan günlükleri veya raporları görüntüleyerek zararlı komut dosyalarını tetiklemeye kandırabilir.
Temel CVSS V3.1 skoru 4.7 (AV: N/AC: L/PR: N/UI: R/S: C/C: N/I: N/A: L) ile derecelendirilen bu vektör, ağ erişimi ve kullanıcı etkileşimi gerektirir, ancak azaltılmazsa sistemik etkiye sahip olabilir.
Kullanıcılara, gömülü formülleri nötralize etmek için giriş dezenfekte edilmesinin uygulandığı Master Lite sürüm 2.4.0’a yükseltmeleri tavsiye edilir.
Tahmin edilmemiş hizmet yolu
İkinci sayı, CVE-2025-39246, 1.4.0 ila 2.2.0 HikCentral Focsign sürümlerini etkiler. Windows hizmeti yürütülebilir ürünler alan içeren dosya yollarında bulunduğunda, ancak hizmet tanımlarında tırnak işaretleri yokken, belirtilmemiş bir hizmet yolu güvenlik açığı ortaya çıkar.
Dosya yazma izinlerine sahip kimliği doğrulanmış bir yerel kullanıcı, daha yüksek öncelikli bir yolda kötü niyetli bir ikili dikebilir ve bu da pencerelerin sistem ayrıcalıklarıyla yürütülmesine neden olabilir.
CVSS baz skoru 5.3 (AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: L/A: N) ile bu vulnerNoNAbilitiy, güvenli servis konfigürasyonu ihtiyacının altını çizer.
Hikvision, sorunu ele almak için FOCSIGN sürüm 2.3.0’ı yayınladı, alıntılardaki tüm hizmet yollarını kapsadı ve yürütülebilir imzaları doğruladı.
Açıklanan en şiddetli güvenlik açığı, HikCentral Professionals 2.3.1 ila 2.6.2’de bir erişim kontrolü güvenlik açığı olan CVE-2025-39247’dir.
Yetersiz kimlik doğrulama kontrollerinden yararlanarak, kimliği doğrulanmamış bir uzaktan saldırgan erişim kontrollerini atlayabilir ve idari ayrıcalıklar elde edebilir.
Yönetici hakları kazanıldıktan sonra, rakipler sistem ayarlarını yeniden yapılandırabilir, yeni hesaplar oluşturabilir veya daha fazla kötü amaçlı yazılım dağıtabilir.
Kritik bir 8.6’da (AV: N/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N) puanlanan bu güvenlik açığı, güvenlik izleme için HikCentral profesyoneline dayanan işletmeler için yüksek bir risk oluşturmaktadır.
HikVision, her ikisi de kimlik doğrulama boşluğunu kapatan ve oturum yönetimini güçlendiren profesyonel sürüm 2.6.3 veya 3.0.1’e yükseltilmeyi önerir.
Etkilenen ürünlerin ve düzeltmelerin konsolide bir genel bakışı aşağıdaki gibidir:
| Ürün | CVE kimliği | Etkilenen sürümler | Sabit sürümler (ler) |
|---|---|---|---|
| Hikcentral Master Lite | CVE-2025-39245 | 2.2.1 – 2.3.2 | 2.4.0 |
| Hikcentral focsign | CVE-2025-39246 | 1.4.0 – 2.2.0 | 2.3.0 |
| Hikcentral profesyonel | CVE-2025-39247 | 2.3.1 – 2.6.2 | 2.6.3 veya 3.0.1 |
Yamalı sürümleri elde etmek için yöneticiler, Hikvision’ın İletişim Portalı aracılığıyla bölgesel teknik destek ekipleriyle iletişime geçmelidir.
Hikvision’un web sitesinde Focsign 2.3.0 ve Profesyonel 2.6.3/3.0.1 için ayrıntılı indirme bağlantıları mevcuttur.
HSRC, CSV enjeksiyon sorununu ortaklaşa rapor ettikleri için YouSef Alfuhaid ve Nader Alharbi’yi, Quoted Hizmet Yolu kırılganlığını tanımlamak için Eduardo Bido’ya ve Dr. Matthias Lutter’ın erişim kontrol bypass’ı ortaya çıkardığı için kredilendiriyor.
Danışma, “Güvenlik araştırmacılarını, ürünlerimizin bütünlüğünü sağlamaya yardımcı olmak için bulguları HSRC’ye bildirmeye devam etmeye teşvik ediyoruz” diyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.