公告编号:USRC-202406-01
初始发布时间:2024-06-14
漏洞概述:
宇视科技部分NVR产品存在反射型XSS跨站脚本漏洞。攻击者向用户发送一个URL,如果用户点击该 URL,则可能会在其浏览器中执⾏恶意JavaScript脚本。此漏洞还需要⾝份验证才能利用,因此影响范围和严重性有限,即使执行了JavaScript脚本,也不会获得任何额外好处。
建议关闭端口静态映射和UPnP功能避免受到来自互联网的攻击。
漏洞编号:CVE-2024-3850
漏洞评分:
该漏洞使用CVSS v3标准进行分级评分(http://www.first.org/cvss/specification-document)
基础得分:5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
影响版本和修复版本:
| 产品型号 | 受影响版本 | 修复版本 |
| NVR301-04D3 NVR301-08D3 NVR301-16D3 | NVR-B3610.32.20.231219 及之前版本 | NVR-B3610.33.27.240523 及之后版本 |
| NVR301-04S2-P4 | NVR-B3801.20.15.200829 及之前版本 | NVR-B3801.20.17.240507 及之后版本 |
版本获取途径:
请获取修复版本升级,如需帮助请联系设备购买渠道、宇视400热线或区域售后服务人员。
部分具备云升级能力的产品,相关修复版本可以通过云升级获得。
漏洞来源:
感谢CISA发现该问题并报告给宇视科技。
联系渠道:
关于宇视科技产品和解决方案的安全问题,请通过security@uniview.com反馈给我们。
浙公网安备 33010802004032号
