XML Injection уразливість в мережевих камерах Hikvision
17:10 29.05.201527.02.2015
Ще 11.10.2014 я знайшов XML Injection уразливість в інших моделях мережевих камер Hikvision. Це IP Camera та DVR пристрої. А у лютому, 18.02.2015, я знайшов аналогічні уразливості в Hikvision DS-2DF5284-A.
Стосовно веб камер та відеореєстраторів Hikvision раніше я писав про уразливості в Hikvision DS-7108HWI-SH.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
29.05.2015
XML Injection (WASC-23):
http://site/ISAPI/%3C/requestURL%3E%3Clink%3Ehttp://site%3C/link%3E%3CrequestURL%3E/
Її можна використати для XML Injection та XSS атак.
Уразливі моделі: Hikvision DS-2CD2412F-IW, DS-2CD2412F-I, DS-7204HWI-SH, DS-2CD2412F-IW, DS-2CD2012-I, DS-2CD2232-I5, DS-7108HWI-SH, DS-2CD7153-E, DS-2CD2132-I, DS-2DF5284-A.
Розробники вже виправили XML Injection уразливість в версії V3.2.0 для DVR/NVR і версії V5.2.0 для IPC.