Идентификатор уведомления: USRC-202406-01
Дата первой публикации: 14 июня 2024 г. 

Краткое описание: 
В некоторых NVR-продуктах Uniview обнаружена уязвимость отражённого межсайтового скриптирования (XSS). Злоумышленник может отправить пользователю URL-ссылку, при переходе по которой в браузере жертвы может выполниться вредоносный JavaScript-код.

Для эксплуатации данной уязвимости требуется предварительная аутентификация, что ограничивает её масштаб и серьёзность. Даже в случае выполнения скрипта злоумышленник не получает дополнительных привилегий.

Рекомендуется не использовать проброс портов (port forwarding) и отключить UPnP, чтобы избежать атак из интернета.

Идентификатор CVE: CVE-2024-3850 

Оценка уязвимости: 
Для оценки используется система CVSS v3 (http://www.first.org/cvss/specification-document) 
Базовый показатель: 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)

Затронутые версии и исправленные версии:

Получение исправленной прошивки:

Для обновления используйте исправленные версии. Вы можете обратиться за помощью в канал дистрибуции, службу поддержки или региональную техническую поддержку.

Служба поддержки / региональная техническая поддержка: https://global.uniview.com/About_Us/Contact_Us/

Некоторые продукты Uniview поддерживают облачное обновление. Соответствующие исправленные версии можно получить через облачное обновление.

Источник информации об уязвимости:

Благодарим CISA за сообщение об этой уязвимости.

Свяжитесь с нами:

Если у вас возникли вопросы или опасения, связанные с безопасностью наших продуктов или решений, пожалуйста, напишите нам на security@uniview.com.