28 августа 2025 года Центр реагирования на угрозы безопасности Hikvision (HSRC) опубликовал рекомендацию по безопасности под номером HSRC-202508-01, в которой описаны три критические уязвимости в различных продуктах линейки HikCentral. Эти уязвимости, получившие идентификаторы CVE-2025-39245, CVE-2025-39246 и CVE-2025-39247, имеют уровень серьезности от среднего до высокого и могут позволить злоумышленникам выполнять несанкционированные команды, повышать привилегии или получать административный доступ к системам.
Детали уязвимостей
Первая уязвимость, CVE-2025-39245, представляет собой инъекцию через CSV-файлы и затрагивает HikCentral Master Lite версий с 2.2.1 по 2.3.2. В подверженных угрозе версиях злонамеренно сформированные CSV-файлы могут содержать формулы или команды, которые выполняются при открытии в приложениях для работы с электронными таблицами. Внедряя исполняемый код в поля CSV, злоумышленник может обманом заставить операторов запустить вредоносные сценарии просто при просмотре экспортированных журналов или отчетов. Уязвимость имеет базовый балл CVSS v3.1 - 4.7 (AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L), что означает необходимость наличия сетевого доступа и взаимодействия с пользователем, но потенциально способно привести к системному воздействию, если не будут приняты меры. Пользователям рекомендуется обновиться до версии Master Lite 2.4.0, где реализована санация входных данных для нейтрализации встроенных формул.
Вторая проблема, CVE-2025-39246, затронула HikCentral FocSign версий с 1.4.0 по 2.2.0. Речь идет об уязвимости незаключенного в кавычки пути службы (Unquoted Service Path), которая возникает, когда исполняемые файлы служб Windows находятся в путях, содержащих пробелы, но не имеют кавычек в определениях служб. Аутентифицированный локальный пользователь с правами на запись файлов может разместить вредоносный (malicious) двоичный файл в пути с более высоким приоритетом, что приведет к его выполнению с системными привилегиями. С базовым баллом CVSS 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N) эта уязвимость подчеркивает важность безопасной конфигурации служб. Hikvision выпустила FocSign версии 2.3.0 для устранения проблемы, заключив все пути служб в кавычки и добавив проверку подписей исполняемых файлов.
Наиболее серьезной из раскрытых уязвимостей является CVE-2025-39247 - недостаток контроля доступа в HikCentral Professional версий с 2.3.1 по 2.6.2. Используя недостаточные проверки аутентификации, неаутентифицированный удаленный злоумышленник может обойти механизмы контроля доступа и получить административные привилегии. После получения прав администратора противники могут перенастраивать системные параметры, создавать новые учетные записи или развертывать дополнительное вредоносное программное обеспечение, включая программы-вымогатели (ransomware). Оцененная в критические 8.6 балла (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N), эта уязвимость представляет высокий риск для предприятий, использующих HikCentral Professional для мониторинга безопасности. Hikvision рекомендует обновиться до Professional версии 2.6.3 или 3.0.1, в которых устранена лазейка в аутентификации и усилено управление сеансами.
Ссылки
- https://www.hikvision.com/en/support/cybersecurity/security-advisory/security-vulnerabilities-in-some-hikcentral-products/
- https://www.cve.org/CVERecord?id=CVE-2025-39245
- https://www.cve.org/CVERecord?id=CVE-2025-39246
- https://www.cve.org/CVERecord?id=CVE-2025-39247
