← volver
CVE-2021-36260

CVE-2021-36260

CVSS 9.8 CRITICALEPSS 99.9%● KEVCWE-78
En resumen

Un servidor web Hikvision no valida adecuadamente la entrada del usuario, permitiendo que atacantes inyecten comandos maliciosos que se ejecutan en el servidor. Esto puede dar a los atacantes control total del dispositivo afectado.

Detalle técnico

Vulnerabilidad de inyección de comandos (CWE-78) en el servidor web de productos Hikvision originada por validación insuficiente de entrada. Un atacante no autenticado puede enviar mensajes que contengan comandos del sistema operativo maliciosos que se ejecutan con privilegios del servidor, resultando en compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
A command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input validation, attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas16
githubgithub.com/tamim1089/HikvisionExploiter363githubgithub.com/Aiminsun/CVE-2021-36260293githubgithub.com/Cuerz/CVE-2021-36260167githubgithub.com/TaroballzChen/CVE-2021-36260-metasploit20githubgithub.com/rabbitsafe/CVE-2021-3626016githubgithub.com/tuntin9x/CheckHKRCE7githubgithub.com/NanoTrash/hikvision_brute3githubgithub.com/aengussong/hikvision_probe3githubgithub.com/yanxinwu946/hikvision-unauthenticated-rce-cve-2021-362602githubgithub.com/haingn/HIK-CVE-2021-36260-Exploit1githubgithub.com/saaydmr/hikvision-exploiter1githubgithub.com/code-msga/HikvisionExploiter_fixed0githubgithub.com/shubtheone/CVE-2021-36260-hikvision0exploitdbwww.exploit-db.com/exploits/50441no verificadocve_referencepacketstormsecurity.com/files/166167/Hikvision-IP-Camera-Unauthenticated-Command-Injection.htmlno verificadocve_referencepacketstormsecurity.com/files/164603/Hikvision-Web-Server-Build-210702-Command-Injection.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/164603/Hikvision-Web-Server-Build-210702-Command-Injection.htmlhttp://packetstormsecurity.com/files/166167/Hikvision-IP-Camera-Unauthenticated-Command-Injection.htmlhttps://therecord.media/experts-warn-of-widespread-exploitation-involving-hikvision-cameras/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-36260https://www.cyfirma.com/wp-content/uploads/2022/08/HikvisionSurveillanceCamerasVulnerabilities.pdfhttps://www.hikvision.com/en/support/cybersecurity/security-advisory/security-notification-command-injection-vulnerability-in-some-hikvision-products/