Sintesi

Disponibile un Proof of Concept (PoC) per la vulnerabilità CVE-2023-6894 – già sanata dal vendor – presente nel software Intercom Broadcasting System di Hikvision. Tale vulnerabilità – con score CVSS v3.x pari a 9.8, per il quale si evidenzia un recente incremento dello score EPSS¹ (valore attuale: 90.16%) – potrebbe essere utilizzata per eseguire codice arbitrario sui prodotti interessati.

Tipologia

• Remote Code Execution

Prodotti e versioni affette

Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti Hikvision all’ultima versione disponibile

Identificatori univoci vulnerabilità

CVE-2023-6894

Riferimenti

https://www.hikvision.com/it/support/download/software/

https://nvd.nist.gov/vuln/detail/CVE-2023-6894/change-record?changeRecordedOn=12/18/2023T10:15:10.507-0500

¹ L’EPSS (Exploit Predicion Scoring System – https://www.first.org/epss/), è un valore aggiornato quotidianamente dal FIRST che fornisce un’indicazione della probabilità che una vulnerabilità venga sfruttata.

² La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.