W oprogramowaniu HikCentral służącym do zarządzania instalacjami systemów bezpieczeństwa marki HikVision znaleziono błędy. Jeden z nich, CVE-2025-39247, dotyczy HikCentral Professional (od v2.3.1 do v2.6.2) i pozwala na nieautoryzowany dostęp nieuprawnionej osobie do poziomu administratora. CVSS aż 8.6.

Oficjalne powiadomienie HSRC-202508-01 zostało wydane przez Hikvision Security Response Center 28 sierpnia 2025r.

Aktualizujcie, jak macie zabawki od HikVision na stanie i z jakiegoś powodu nie trzymacie tego w oddzielnym, odciętym od świata vlanie. A jakbyście chcieli się dowiedzieć, jak zapewnić najwyższe bezpieczeństwo swoim firmowym sieciom i systemom, to zapraszamy na nasze 3-dniowe szkolenie dla adminów i devopsów, które nauczy Was jak wykrywać słabe punkty w Waszej infrastrukturze i jak ją prosto, ale skuteczenie testować pod kątem bezpieczeństwa:

Pozostałe dziury są mniej straszne i wymagają interakcji z administratorem lub lokalnego dostępu:

CVE-2025-39245: luka typu CSV Injection w module HikCentral Master Lite, umożliwiająca wykonanie poleceń na hoście po zaimportowaniu złośliwego pliku CSV. Wymaga interakcji użytkownika; CVSS 4.7
CVE-2025-39246: problem z niezamkniętą ścieżką usługi (unquoted service path) w module HikCentral FocSign, pozwalający lokalnemu, uwierzytelnionemu użytkownikowi na eskalację uprawnień. CVSS 5.3