HikVision ha revelado tres vulnerabilidades de seguridad significativas que afectan múltiples versiones de su suite de productos Hikcentral que podrían permitir a los atacantes ejecutar comandos maliciosos y obtener acceso administrativo no autorizado.
Las vulnerabilidades, los identificadores CVE asignados CVE-2025-39245, CVE-2025-39246 y CVE-2025-39247, se informaron al Centro de Respuesta a Seguridad HikVision (HSRC) por los investigadores de seguridad Yousef Alfuhaid, Nader Alharbi, Eduardo Bido y el Dr. Matthias Lutter.
Control de llave
1. CVE-2025-39247 permite que los atacantes no autenticados pasen por alto el control de acceso en Hikcentral Professional.
2. Explota las verificaciones de autenticación faltantes en los puntos finales de API.
3. Arregle actualizando y apretando la red y los controles de registro.
Vulnerabilidad de control de acceso
La vulnerabilidad más severa (CVE-2025-39247) afecta a las versiones profesionales de Hikcentral v2.3.1 a v2.6.2, llevando un puntaje base CVSS V3.1 de 8.6 (CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: C/C: H/I/A: N/A: N).
Esta falla de control de acceso permite a los atacantes remotos no autenticados obtener privilegios de administrador sin requerir la interacción del usuario o las credenciales de autenticación previas.
Técnicamente, la causa raíz radica en un control de acceso insuficiente dentro de los puntos finales de la API del servicio web de Hikcentral Professional.
Ciertas funciones administrativas no pueden verificar adecuadamente los tokens de autenticación de usuarios, lo que permite que las solicitudes HTTP especialmente elaboradas invocen operaciones privilegiadas.
Falla de inyección de CSV
La primera vulnerabilidad (CVE-2025-39245) representa un vector de ataque de inyección CSV en las versiones Hikcentral Master Lite v2.2.1 a V2.3.2.
Con una puntuación CVSS de 4.7 (CVSS: 3.1/AV: N/AC: L/PR: N/UI: R/S: C/C: N/I: N/A: L), esta vulnerabilidad permite a los atacantes inyectar comandos ejecutables a través de archivos de datos CSV de forma maliciosa.
Cuando los usuarios desprevenidos importan estos archivos CSV comprometidos, los comandos integrados se ejecutan dentro del contexto de la aplicación, lo que puede comprometer la disponibilidad del sistema y la integridad del procesamiento de datos.
Vulnerabilidad de la ruta de servicio
Las versiones de HikCentral Focsign v1.4.0 a v2.2.0 contienen una vulnerabilidad de la ruta de servicio sin cesar (CVE-2025-39246) puntuación 5.3 en la escala CVSS (CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: L/A: N).
Esta vulnerabilidad específica de Windows ocurre cuando las rutas ejecutables del servicio contienen espacios pero carecen de comillas adecuadas en la configuración del servicio.
Los atacantes autenticados con acceso al sistema local pueden explotar este defecto colocando ejecutables maliciosos en ubicaciones estratégicas del sistema de archivos.
Cuando comienza el servicio vulnerable, Windows puede ejecutar la carga útil del atacante en lugar del binario de servicio legítimo debido a la ambigüedad de la resolución de ruta.
CVE IDTITLECVSS 3.1 ScoreSeverityCVE-2025-39245CSV Inyección en HikCentral Master Lite4.7MediumCve-2025-39246 Uncented Service Path in Hikcentral Focsign5.3MediumcVe-2025-39247access Control Control Bypass en Hikcentral Professional 8.6high
Parcheo requerido
HikVision tiene lanzados parches de seguridad abordar las tres vulnerabilidades. Los usuarios de HikCentral Master Lite deben actualizarse a la versión v2.4.0, mientras que los usuarios de FOCSign requieren la versión v2.3.0.
La actualización más crítica involucra a HikCentral Professional, donde los usuarios deben instalar V2.6.3 o V3.0.1 para remediar la severa vulnerabilidad de Bypass de control de acceso.
Las organizaciones deben priorizar el parche CVE-2025-39247 debido a su alta calificación de gravedad y potencial de explotación remota sin autenticación.
El vector de ataque de red de la vulnerabilidad y la clasificación de alcance cambiado indican que la explotación exitosa podría afectar sistemas adicionales más allá del objetivo inicialmente comprometido.
Los equipos de seguridad deben implementar la segmentación integral de red para limitar la propagación de ataque potencial.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
