公告編號(hào)：USRC-202406-01

初始發(fā)布時(shí)間：2024-06-14

漏洞概述：

     宇視科技部分NVR產(chǎn)品存在反射型XSS跨站腳本漏洞。攻擊者向用戶發(fā)送一個(gè)URL，如果用戶點(diǎn)擊該 URL，則可能會(huì)在其瀏覽器中執(zhí)?惡意JavaScript腳本。此漏洞還需要?份驗(yàn)證才能利用，因此影響范圍和嚴(yán)重性有限，即使執(zhí)行了JavaScript腳本，也不會(huì)獲得任何額外好處。

建議關(guān)閉端口靜態(tài)映射和UPnP功能避免受到來自互聯(lián)網(wǎng)的攻擊。

漏洞編號(hào)：CVE-2024-3850

漏洞評(píng)分：

該漏洞使用CVSS v3標(biāo)準(zhǔn)進(jìn)行分級(jí)評(píng)分（http://www.first.org/cvss/specification-document）

基礎(chǔ)得分：5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)

影響版本和修復(fù)版本：

版本獲取途徑：

請(qǐng)獲取修復(fù)版本升級(jí)，如需幫助請(qǐng)聯(lián)系設(shè)備購(gòu)買渠道、宇視400熱線或區(qū)域售后服務(wù)人員。

部分具備云升級(jí)能力的產(chǎn)品，相關(guān)修復(fù)版本可以通過云升級(jí)獲得。

漏洞來源：

感謝CISA發(fā)現(xiàn)該問題并報(bào)告給宇視科技。

聯(lián)系渠道：

關(guān)于宇視科技產(chǎn)品和解決方案的安全問題，請(qǐng)通過security@uniview.com反饋給我們。