hikvision 漏洞列表

/Security/users?auth=YWRtaW46MTEK /onvif-http/snapshot?auth=YWRtaW46MTEK /System/configurationFile?auth=YWRtaW46MTEK

A command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input validation, attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands.

app="HIKVISION-群组对讲服务配置平台" admin/12345

HIKVISION 综合安防管理平台存在信息泄漏漏洞，攻击者通过漏洞可以获取环境env等敏感消息进一步攻击 FOFA: app="HIKVISION-综合安防管理平台"

HiKVISION 综合安防管理平台 files 接口存在任意文件上传漏洞，攻击者通过漏洞可以上传任意文件 FOFA: app="HIKVISION-综合安防管理平台" FOFA: title="综合安防管理平台"

HiKVISION 综合安防管理平台 report接口存在任意文件上传漏洞，攻击者通过构造特殊的请求包可以上传任意文件，获取服务器权限 FOFA: app="HIKVISION-综合安防管理平台" FOFA: title="综合安防管理平台"

海康综合安防管理平台 applyAutoLoginTicket 接口存在 fastjson 反序列化漏洞。攻击者可在未鉴权的情况下，对目标服务器进行远程命令执行，从而获取服务器权限。 Fofa: app="HIKVISION-综合安防管理平台" Fofa: icon_hash="136203464" Hunter: web.icon="753466eed2bbef2bae18b55994d1d2ae"

HIKVISION 视频编码设备接入网关存在配置错误特性，特殊后缀请求php文件可读取源码 title="视频编码设备接入网关"

HIKVISION iVMS-8700综合安防管理平台存在任意文件读取漏洞，攻击者通过发送特定的请求包可以读取服务器中的敏感文件获取服务器信息 Fofa: icon_hash="-911494769"

HIKVISION iVMS-8700综合安防管理平台存在任意文件上传漏洞，攻击者通过发送特定的请求包可以上传Webshell文件控制服务器 FOFA: icon_hash="-911494769"

海康威视视频接入网关系统在页面/serverLog/showFile.php的参数fileName存在任意文件下载漏洞 title="视频编码设备接入网关"

Hikvision DS-2CD2xx2F-I Series V5.2.0 build 140721 to V5.4.0 build 160530, DS-2CD2xx0F-I Series V5.2.0 build 140721 to V5.4.0 Build 160401, DS-2CD2xx2FWD Series V5.3.1 build 150410 to V5.4.4 Build 161125, DS-2CD4x2xFWD Series V5.2.0 build 140721 to V5.4.0 Build 160414, DS-2CD4xx5 Series V5.2.0 build 140721 to V5.4.0 Build 160421, DS-2DFx Series V5.2.0 build 140805 to V5.4.5 Build 160928, and DS-2CD63xx Series V5.0.9 build 140305 to V5.3.5 Build 160106 devices contain an improper authentication issue. The improper authentication vulnerability occurs when an application does not adequately or correctly authenticate users. This may allow a malicious user to escalate his or her privileges on the system and gain access to sensitive information.

Certain Hikvision products contain a command injection vulnerability in the web server due to the insufficient input validation. An attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands.

A vulnerability was found in Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK). It has been declared as critical. This vulnerability affects unknown code of the file /php/ping.php. The manipulation of the argument jsondata[ip] with the input netstat -ano leads to os command injection. The exploit has been disclosed to the public and may be used. Upgrading to version 4.1.0 is able to address this issue. It is recommended to upgrade the affected component. VDB-248254 is the identifier assigned to this vulnerability.

Hikvision iVMS 4200 index.php 存在本地文件包含漏洞，攻击者利用该漏洞可以执行任意代码，进而控制该系统权限。

Hikvision Hybrid SAN/Cluster Storage 存在安全漏洞，该漏洞源于 web模块输入验证不足。攻击者利用该漏洞通过发送带有恶意命令的消息来执行受限命令.

海康威视iVMS（智能视频管理系统）是一款集视频监控、存储、管理、分析于一体的综合管理平台，广泛应用于安防领域。该产品支持多设备接入，提供实时监控、录像回放、智能分析、报警管理等功能，具备高可靠性和易用性，适用于各类场景如智慧城市、交通、金融、教育等，帮助用户实现高效、智能的安全管理。海康威视iVMS download.action存在任意文件读取漏洞，攻击者可以读取服务器任何文件，获取服务器敏感信息 

海康威视 安防综合管理平台 IVMS8700 IWsBaseServiceHttpSoap11Endpoint 访问控制不当漏洞

海康威视 综合安防管理平台 licenseExpire 未授权 命令注入漏洞

HiKVISION 综合安防管理平台存在信息泄露漏洞，此漏洞是由于程序未充分验证用户输入isupm接口的数据导致的。

海康威视综合安防平台是一个集成化、数字化、智能化的平台，专为提供全方位的安全综合解决方案而设计。海康威视综合安防平台applyAutoLoginTicket存在远程代码执行漏洞，攻击者可获取服务器权限。

海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。 海康威视联网网关存在任意文件读取漏洞，攻击者可利用该漏洞获取敏感信息。

Hikvision 8700存在信息泄露漏洞，此漏洞是由于未充分验证用户输入IWsBaseServiceHttpSoap11Endpoint的数据导致的。

Hikvision Hybrid SAN存在SQL注入漏洞，此漏洞是由于dynamic_log.php接口对用户请求的downloadtype参数的值验证不当造成的。

Hikvision Intercom Broadcasting System是中国海康威视（Hikvision）公司的一个对讲广播系统。 Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)版本存在操作系统命令注入漏洞，该漏洞源于文件/php/ping.php的参数jsondata[ip]会导致操作系统命令注入。

Hikvision Intercom Broadcasting System是中国海康威视（Hikvision）公司的一个对讲广播系统。 Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)版本存在路径遍历漏洞，该漏洞源于文件/php/exportrecord.php的参数downname会导致路径遍历。

海康威视对讲广播系统3.0.3_20201113_RELEASE(HIK)存在漏洞。 它已被归类为有问题的。 这会影响组件日志文件处理程序的文件 access/html/system.html 的未知部分。 操纵导致信息泄露。 该漏洞已向公众披露并可能被使用。 升级到4.1.0版本可以解决这个问题。 建议升级受影响的组件。 该漏洞分配了标识符 VDB-248253。

HIKVISION iVMS-8700 综合安防管理平台是海康威视生产的一款安全防护平台。HIKVISION iVMS-8700 综合安防管理平台存在任意文件读取漏洞，攻击者通过发送特定的请求包可以读取服务器中的目录信息与敏感文件。

HiKVISION 综合安防管理平台是一套安防信息化集成平台。HiKVISION 综合安防管理平台存在任意文件上传漏洞，攻击者可通过该漏洞在服务器端上传任意文件，执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

HiKVISION 综合安防管理平台 report接口存在任意文件上传漏洞，攻击者通过构造特殊的请求包可以上传任意文件，获取服务器权限

HIKVISION iSecureCenter综合安防管理平台是一套“集成化”、“智能化”的平台，通过接入视频监控、一卡通、停车场、报警检测等系统的设备，获取边缘节点数据，实现安防信息化集成与联动，以电子地图为载体，融合各系统能力实现丰富的智能应用，该平台存在Spingboot信息泄露，泄露系统敏感信息。

HIKVISION iSecureCenter综合安防管理平台是一套“集成化”、“智能化”的平台，通过接入视频监控、一卡通、停车场、报警检测等系统的设备，获取边缘节点数据，实现安防信息化集成与联动，以电子地图为载体，融合各系统能力实现丰富的智能应用。该平台存在任意文件上传漏洞，攻击者可以利用该漏洞获取服务器权限。

HIKVISION 综合安防管理平台 applyCT 存在低版本Fastjson远程命令执行漏洞，攻击者通过漏洞可以执行任意命令获取服务器权限

Hikvision DS-2CD2xx2F-I Series等都是中国海康威视（Hikvision）公司的网络摄像头产品。 多款Hikvision产品中存在身份验证漏洞。攻击者可利用该漏洞提升权限，获取敏感信息的访问权限。以下产品和版本受到影响：Hikvision DS-2CD2xx2F-I Series 5.2.0 build 140721版本至5.4.0 build 160530版本；DS-2CD2xx0F-I Series 5.2.0 build 140721版本至5.4.0 Build 160401版本；DS-2CD2xx2FWD Series 5.3.1 build 150410版本至5.4.4 Build 161125版本；DS-2CD4x2xFWD Series 5.2.0 build 140721版本至5.4.0 Build 160414版本；DS-2CD4xx5 Series 5.2.0 build 140721版本至5.4.0 Build 160421版本；DS-2DFx Series 5.2.0 build 140805版本至5.4.5 Build 160928版本；DS-2CD63xx Series 5.0.9 build 140305版本至5.3.5 Build 160106版本。

海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。 杭州海康威视系统技术有限公司流媒体管理服务器存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

HIKVISION 流媒体管理服务器,参数过滤不严，导致可以目录穿越任意文件读取

Hikvision Web Server是中国海康威视（Hikvision）公司的一个Web服务器。用于解析协议，提供服务。 Hikvision Web Server 中存在操作系统命令注入漏洞，该漏洞源于输入验证不足。攻击者可利用该漏洞通过发送带有恶意命令的消息来发起命令注入攻击。

海康威视视频接入网关系统在页面/serverLog/showFile.php的参数fileName过滤不当，导致存在任意文件下载漏洞，可被利用获取系统的敏感文件信息。

HIKVISION 视频编码设备接入网关存在未授权访问漏洞，攻击者可未授权查看管理员信息

海康威视视频接入网关系统存在任意文件下载漏洞

HIKVISION 流媒体管理服务器 downFile.php的参数未经任何过滤，可以任意下载敏感文件

海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。杭州海康威视系统技术有限公司流媒体管理服务器存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。

Hikvision DS-2CD7153-E是中国海康威视（Hikvision）公司的一款网络摄像机产品。 Hikvision DS-2CD7153-E IP Camera中存在安全漏洞。攻击者可利用该漏洞绕过安全限制，获取未授权访问权限。

Hikvision DS-2CD2xx2F-I Series等都是中国海康威视（Hikvision）公司的网络摄像头产品。 多款Hikvision产品中存在安全漏洞。攻击者可利用该漏洞提升权限或使用其他用户身份，访问敏感信息。以下产品和版本受到影响：Hikvision DS-2CD2xx2F-I Series 5.2.0 build 140721版本至5.4.0 build 160530版本；DS-2CD2xx0F-I Series 5.2.0 build 140721版本至5.4.0 Build 160401版本；DS-2CD2xx2FWD Series 5.3.1 build 150410版本至5.4.4 Build 161125版本；DS-2CD4x2xFWD Series 5.2.0 build 140721版本至5.4.0 Build 160414版本；DS-2CD4xx5 Series 5.2.0 build 140721版本至5.4.0 Build 160421版本；DS-2DFx Series 5.2.0 build 140805版本至5.4.5 Build 160928版本；DS-2CD63xx Series 5.0.9 build 140305版本至5.3.5 Build 160106版本。