【安全资讯】海康威视HikCentral Master Lite与Professional软件存在多重漏洞

概要：

海康威视作为领先的AIoT和视频监控解决方案提供商，近日披露其HikCentral Master Lite和HikCentral Professional软件存在三项严重漏洞。这些漏洞可能导致攻击者执行恶意代码、窃取敏感信息并干扰系统操作，给用户带来重大安全隐患。

主要内容：

此次披露的漏洞包括CVE-2024-47485、CVE-2024-47486和CVE-2024-47487，涉及CSV注入、跨站脚本（XSS）和SQL注入等多种攻击方式。具体而言，CVE-2024-47485是一个CSV注入漏洞，攻击者可以通过向CSV文件注入恶意数据，执行任意命令。CVE-2024-47486则是一个XSS漏洞，允许攻击者在用户查看的网页中注入恶意脚本，可能窃取用户的会话cookie或将其重定向至恶意网站。CVE-2024-47487是SQL注入漏洞，攻击者可以执行恶意SQL查询，获取敏感数据或修改系统行为。

这些漏洞由安全研究人员Yousef Alfuhaid和Manh Doan Duc发现并报告给海康威视。为应对这些安全威胁，海康威视已发布更新版本，用户被强烈建议及时更新系统，以降低被利用的风险。受影响的版本包括HikCentral Master Lite V2.0.0至V2.2.1，更新至V2.3.0；HikCentral Professional V2.0.0至V2.6.0，更新至V2.6.1。