ID de SA: USRC-202406-01

Primera publicación: 14-06-2024

Resumen:

Se ha detectado una vulnerabilidad de scripting entre sitios reflejado (XSS) en algunos productos NVR de Uniview. Un atacante podría enviar a un usuario una URL que, si se hace clic en ella, podría ejecutar JavaScript malicioso en su navegador.

Esta vulnerabilidad también requiere autenticación antes de poder ser explotada, por lo que su alcance y gravedad son limitados. Además, incluso si se ejecuta JavaScript, no se obtienen beneficios adicionales.

Recomendamos no utilizar la redirección de puertos y deshabilitar UPnP para evitar ataques desde Internet.

ID de CVE: CVE-2024-3850

Puntuación:

Para la puntuación de esta vulnerabilidad se adopta CVSS v3 (http://www.first.org/cvss/specification-document)

Puntuación base: 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)

Versiones afectadas y versión corregida:

Obtención del firmware corregido:

Utilice las versiones de reparación para realizar la actualización. Puede ponerse en contacto con el canal de distribución, la línea directa de servicio o el soporte técnico regional para obtener ayuda.

Línea directa de servicio/soporte técnico regional: https://global.uniview.com/About_Us/Contact_Us/

Algunos productos de Uniview cuentan con la capacidad de actualización en la nube. Las versiones de reparación correspondientes pueden obtenerse a través de la actualización en la nube.

Fuente de la información sobre la vulnerabilidad:

Agradecemos a CISA por informar de esta vulnerabilidad.

Contáctenos:

Si tiene algún problema o inquietud de seguridad con nuestros productos o soluciones, póngase en contacto con nosotros en security@uniview.com.