W oprogramowaniu HikCentral służącym do zarządzania instalacjami systemów bezpieczeństwa marki HikVision znaleziono błędy. Jeden z nich, CVE-2025-39247, dotyczy HikCentral Professional (od v2.3.1 do v2.6.2) i pozwala na nieautoryzowany dostęp nieuprawnionej osobie do poziomu administratora. CVSS aż 8.6.
Oficjalne powiadomienie HSRC-202508-01 zostało wydane przez Hikvision Security Response Center 28 sierpnia 2025r.
Aktualizujcie, jak macie zabawki od HikVision na stanie i z jakiegoś powodu nie trzymacie tego w oddzielnym, odciętym od świata vlanie. A jakbyście chcieli się dowiedzieć, jak zapewnić najwyższe bezpieczeństwo swoim firmowym sieciom i systemom, to zapraszamy na nasze 3-dniowe szkolenie dla adminów i devopsów, które nauczy Was jak wykrywać słabe punkty w Waszej infrastrukturze i jak ją prosto, ale skuteczenie testować pod kątem bezpieczeństwa:
ZDALNIE: 10-12 września 2025r. — UWAGA: zostały tylko 3 wolne miejsca
Ostatnio ktoś zarejestrował się 29 sierpnia 2025r. → zarejestruj się na to szkolenie
3944 PLN netto (do 2 września)
4444 PLN netto (od 3 września)
Warszawa: 24-26 września 2025r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 12 sierpnia 2025r. → zarejestruj się na to szkolenie
3944 PLN netto (do 5 września)
4444 PLN netto (od 6 września)
Kraków: 15-17 października 2025r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 25 sierpnia 2025r. → zarejestruj się na to szkolenie
3944 PLN netto (do 5 września)
4444 PLN netto (od 6 września)
Gdańsk: 26-28 listopada 2025r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 21 lipca 2025r. → zarejestruj się na to szkolenie
3944 PLN netto (do 5 września)
4444 PLN netto (od 6 września)
Wrocław: 03-05 grudnia 2025r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 26 sierpnia 2025r. → zarejestruj się na to szkolenie
3944 PLN netto (do 12 września)
4444 PLN netto (od 13 września)
Poznań: 10-12 grudnia 2025r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 01 września 2025r. → zarejestruj się na to szkolenie
3944 PLN netto (do 12 września)
4444 PLN netto (od 13 września)
Pozostałe dziury są mniej straszne i wymagają interakcji z administratorem lub lokalnego dostępu:
CVE-2025-39245: luka typu CSV Injection w module HikCentral Master Lite, umożliwiająca wykonanie poleceń na hoście po zaimportowaniu złośliwego pliku CSV. Wymaga interakcji użytkownika; CVSS 4.7
CVE-2025-39246: problem z niezamkniętą ścieżką usługi (unquoted service path) w module HikCentral FocSign, pozwalający lokalnemu, uwierzytelnionemu użytkownikowi na eskalację uprawnień. CVSS 5.3
