cybersecurity

Cámara IP H.VIEW HV-500S6

Fuente: cisa.gov 5 min de lectura

Compartir

Cámara IP H.VIEW HV-500S6

Estás leyendo un resumen. El contenido completo está en cisa.gov.

Ver Resumen de CSAF La explotación exitosa de estas vulnerabilidades podría permitir a un atacante ejecutar código arbitrario y cargar archivos maliciosos en el dispositivo afectado. Las siguientes versiones de la cámara IP H.VIEW HV-500S6 están afectadas: H.VIEW HV-500S6 IP Camera IPCAM_V4.06.88.251229 CVSS Vulnerabilidades del Equipo del Proveedor v3 7.2 H.VIEW H.VIEW HV-500S6 Cámara IP Neutralización Inadecuada de Elementos Especiales utilizados en un Comando del SO ('Inyección de Comando del SO'), Carga Sin Restricciones de Archivos de Tipo Peligroso Infraestructuras Críticas de Fondo: Instalaciones Comerciales Países/Zonas Desplegadas: Mundial Ubicación de la Sede de la Empresa: China Vulnerabilidades Expandir Todo + CVE-2026-55975 Existe una vulnerabilidad en las cámaras IP H.View que podría permitir a un usuario autenticado suministrar campos XML no sanitizados a la interfaz de generación de certificados del dispositivo, que se incorporan a un comando de creación de certificado en segundo plano sin una validación adecuada de entrada. Esto puede permitir la ejecución de comandos con privilegios elevados durante la generación del certificado. Ver Detalles de CVE Productos Afectados Cámara IP H.VIEW HV-500S6 Proveedor: H.VIEW Versión del Producto: H.VIEW H.VIEW HV-500S6 Cámara IP: IPCAM_V4.06.88.251229 Estado del Producto: conocido_afectado Remedios Mitigación H.View no respondió a la solicitud de CISA para coordinar. Se anima a los usuarios a comunicarse con H.View para obtener soporte. https://hviewsmart.com/pages/contact-us https://hviewsmart.com/pages/contact-us CWE Relevante: CWE-78 Neutralización Inadecuada de Elementos Especiales utilizados en un Comando del SO ('Inyección de Comando del SO') Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 7.2 ALTA CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 4.0 8.6 ALTA CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVE-2026-56414 Existe una vulnerabilidad en las interfaces de carga relacionadas con certificados de las cámaras IP H.View que permiten a los usuarios autenticados almacenar contenido de archivo arbitrario en ubicaciones de sistema de archivos fijas y persistentes sin validar el tipo, estructura o tamaño del archivo. Esta omisión de diseño permite colocar datos inesperados o malformados en ubicaciones destinadas a material de certificado de confianza, lo que podría afectar la integridad o el comportamiento del sistema incluso después de reiniciar. Ver Detalles de CVE Productos Afectados Cámara IP H.VIEW HV-500S6 Proveedor: H.VIEW Versión del Producto: H.VIEW H.VIEW HV-500S6 Cámara IP: IPCAM_V4.06.88.251229 Estado del Producto: conocido_afectado Remedios Mitigación H.View no respondió a la solicitud de CISA para coordinar. Se anima a los usuarios a comunicarse con H.View para obtener soporte. https://hviewsmart.com/pages/contact-us https://hviewsmart.com/pages/contact-us CWE Relevante: CWE-434 Carga Sin Restricciones de Archivos de Tipo Peligroso Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 7.2 ALTA CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 4.0 8.6 ALTA CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N Agradecimientos Fukuhara Rikuto de Smooth Inc. (CTO) y la Universidad Hosei informaron sobre estas vulnerabilidades a CISA Aviso Legal y Términos de Uso Este producto se proporciona sujeto a esta Notificación (https://www.cisa.gov/notification) y esta política de Privacidad y Uso (https://www.cisa.gov/privacy-policy). Prácticas Recomendadas CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. Minimice la exposición a la red de todos los dispositivos y/o sistemas de control, asegurando que no sean accesibles desde Internet. Coloque redes de sistemas de control y dispositivos remotos detrás de cortafuegos, aislándolos de las redes comerciales. Cuando se requiera acceso remoto, utilice métodos más seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más actual disponible. También reconozca que la seguridad de la VPN depende de los dispositivos conectados. CISA recuerda a las organizaciones que realicen un análisis de impacto y evaluación de riesgos adecuados antes de implementar medidas defensivas. CISA también proporciona una sección de prácticas recomendadas para la seguridad de sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluyendo la mejora de la ciberseguridad en sistemas de control industrial con estrategias de defensa en profundidad. CISA anima a las organizaciones a implementar estrategias recomendadas de ciberseguridad para la defensa proactiva de los activos de ICS. Se encuentra disponible públicamente orientación adicional de mitigación y prácticas recomendadas en la página web de ICS en cisa.gov/ics en el documento técnico, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusiones Cibernéticas Dirigidas. Las organizaciones que observen actividad maliciosa sospechosa deben seguir los procedimientos internos establecidos y reportar los hallazgos a CISA para su seguimiento y correlación con otros incidentes. CISA también recomienda a los usuarios que tomen las siguientes medidas para protegerse de ataques de ingeniería social: No haga clic en enlaces web ni abra archivos adjuntos en mensajes de correo electrónico no solicitados. Consulte Reconociendo y Evitando Estafas de Correo Electrónico para obtener más información sobre cómo evitar estafas por correo electrónico. Consulte Evitando Ataques de Ingeniería Social y Phishing para obtener más información sobre ataques de ingeniería social. Hasta el momento, no se ha informado sobre ninguna explotación pública conocida que apunte específicamente a estas vulnerabilidades. Historial de revisiones Fecha de Lanzamiento Inicial: 2026-06-25 Resumen de Revisión de Fecha 2026-06-25 1 Publicación Inicial

Artículos relacionados