公告編號:USRC-202406-01
初始發布時間:2024-06-14
漏洞概述:
宇視科技部分NVR產品存在反射型XSS跨站腳本漏洞。攻擊者向用戶發送一個URL,如果用戶點擊該 URL,則可能會在其瀏覽器中執?惡意JavaScript腳本。此漏洞還需要?份驗證才能利用,因此影響范圍和嚴重性有限,即使執行了JavaScript腳本,也不會獲得任何額外好處。
建議關閉端口靜態映射和UPnP功能避免受到來自互聯網的攻擊。
漏洞編號:CVE-2024-3850
漏洞評分:
該漏洞使用CVSS v3標準進行分級評分(http://www.first.org/cvss/specification-document)
基礎得分:5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
影響版本和修復版本:
| 產品型號 | 受影響版本 | 修復版本 |
| NVR301-04D3 NVR301-08D3 NVR301-16D3 | NVR-B3610.32.20.231219 及之前版本 | NVR-B3610.33.27.240523 及之后版本 |
| NVR301-04S2-P4 | NVR-B3801.20.15.200829 及之前版本 | NVR-B3801.20.17.240507 及之后版本 |
版本獲取途徑:
請獲取修復版本升級,如需幫助請聯系設備購買渠道、宇視400熱線或區域售后服務人員。
部分具備云升級能力的產品,相關修復版本可以通過云升級獲得。
漏洞來源:
感謝CISA發現該問題并報告給宇視科技。
聯系渠道:
關于宇視科技產品和解決方案的安全問題,請通過security@uniview.com反饋給我們。
浙公網安備 33010802004032號
