PT-2020-19363 · Hikvision · Hikvision Dvr Ds-7204Hghi-F1
Publicado
2020-01-14
·
Atualizado
2020-07-23
·
CVE-2020-7057
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Hikvision DVR DS-7204HGHI-F1 versão 4.0.1 compilação 180903
Descrição
A vulnerabilidade permite que um invasor possa enumerar contas de usuário ao analisar as diferentes respostas recebidas para tentativas de login malsucedidas no endpoint
ISAPI/Security/sessionLogin/capabilities, dependendo da existência da conta de usuário. O sistema permite apenas cerca de 4 ou 5 tentativas de login malsucedidas.Recomendações
Para o Hikvision DVR DS-7204HGHI-F1 versão 4.0.1 build 180903, considere restringir o acesso ao endpoint
ISAPI/Security/sessionLogin/capabilities para minimizar o risco de enumeração de usuários. Como solução alternativa temporária, limite o número de tentativas de login malsucedidas permitidas para evitar ataques de força bruta. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hikvision Dvr Ds-7204Hghi-F1