公告编号：HSRC-202306-01

公告来源：海康威视安全应急响应中心

初始发布时间：2023-06-14

漏洞概述：

海康威视部分门禁对讲产品存在以下安全漏洞

（1）部分门禁产品存在会话固定漏洞，产品在用户登录成功后未更新会话标识。攻击者需与合法用户在同一时刻请求会话标识，并通过伪造已登录合法用户的IP和会话标识获得设备操作权限。

（2）部分门禁对讲产品存在未授权修改设备网络配置漏洞，攻击者需在同一局域网内通过向存在漏洞的接口发送特定的数据包修改设备网络配置。

海康威视已发布版本修复该漏洞。

漏洞编号：

CVE-2023-28809

CVE-2023-28810

漏洞评分：

该漏洞使用CVSS v3标准进行分级评分（http://www.first.org/cvss/specification-document）

CVE-2023-28809

基础得分：7.5 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

临时得分：6.7 (/E:P/RL:O/RC:C)

CVE-2023-28810

基础得分：4.3 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

临时得分：3.9 (E:P/RL:O/RC:C)

影响版本和修复版本：（如升级失败，可点击 在线客服 获取帮助）