Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ejecución remota de comandos en puntos de acceso de Hikvision

Fecha de publicación 17/06/2025
Identificador
INCIBE-2025-0323
Importancia
4 - Alta
Recursos Afectados
  • DS-3WAP622G-SI, V1.1.5402 build241014 (E2254P02) y las versiones anteriores;
  • DS-3WAP623E-SI, V1.1.5400 build240814 (E2254) y las versiones anteriores;
  • DS-3WAP521-SI, V1.1.5400 build240814 (E2254) y las versiones anteriores;
  • DS-3WAP522-SI, V1.1.5402 build241014 (E2254P02) y las versiones anteriores;
  • DS-3WAP621E-SI, V1.1.5400 build240814 (E2254) y las versiones anteriores;
  • DS-3WAP622E-SI, V1.1.5402 build241014 (E2254P02) y las versiones anteriores.
Descripción

El investigador exzettabyte ha descubierto una vulnerabilidad de severidad alta que podría provocar una ejecución remota de comandos debido a una validación de entrada insuficiente.

Solución

Se recomienda actualizar a la V1.1.6300, build250331 (R2263).

Detalle

La vulnerabilidad afecta a algunos puntos de acceso inalámbrico y, de ser explotada, podría permitir una ejecución en remoto de comandos autorizados debido a una validación de entrada insuficiente. Los atacantes con credenciales válidas pueden explotar esta vulnerabilidad enviando paquetes manipulados con comandos maliciosos. Se ha asignado el identificador CVE-2025-39240 para esta vulnerabilidad.

Listado de referencias
Hikvision (HSRC-202506-01) - Remote Command Execution Vulnerability in Some Hikvision Wireless Access Point
Etiquetas