Sicherheitslücken in HikCentral-Produkten entdeckt

Hikvision hat mehrere Sicherheitslücken in verschiedenen HikCentral-Produkten bestätigt. Die Schwachstellen betreffen die Produktlinien Master Lite, FocSign und Professional. Das Hikvision Security Response Center (HSRC) hat die Probleme als CVE-2025-39245, CVE-2025-39246 und CVE-2025-39247 klassifiziert. In HikCentral Master Lite wurde eine CSV-Injection-Schwachstelle gefunden, die es Angreifern ermöglicht, über manipulierte CSV-Dateien ausführbare Befehle einzuschleusen. Diese Lücke betrifft Versionen zwischen V2.2.1 und V2.3.2 und wurde mit Version V2.4.0 geschlossen.

Bei HikCentral FocSign existiert eine Schwachstelle durch nicht in Anführungszeichen gesetzte Servicepfade. Authentifizierte Nutzer könnten diese ausnutzen, um lokal höhere Berechtigungen zu erlangen. Betroffen sind hier die Versionen V1.4.0 bis V2.2.0. Mit Version V2.3.0 wurde das Problem behoben. Die sicherlich gravierendste Lücke wurde in HikCentral Professional entdeckt. Hier können nicht authentifizierte Nutzer Administratorrechte erlangen. Diese Schwachstelle existiert in den Versionen V2.3.1 bis V2.6.2 und wurde mit den Versionen V2.6.3 und V3.0.1 geschlossen. Solltet ihr da betroffene Produkte im Einsatz haben, schaut nach, dass ihr auf dem aktuellen Stand seid.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.