语言选择
投资者关系

安全预警 - 大华Web P2P控件存在信息泄露漏洞

预警编号:DHCC-SA-202005-001

初始发布时间:2020-05-11

漏洞描述:

攻击者通过特定方式可以从大华Web P2P控件中获取Cloud Key信息。Cloud Key用于客户端工具与平台的连接认证,攻击者可能使用已泄露的Cloud Key仿冒客户端连接平台,导致平台服务器资源的额外消耗。

 

漏洞编号:

CVE-2020-9501

 

漏洞评分:

该漏洞使用CVSS v3标准进行分级评分( http://www.first.org/cvss/specification-document

CVE-2020-9501

基础得分:5.1 CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

临时得分:4.6 E:P/RL:O/RC:C

 

影响范围及修复程序:

大华现已废弃该Web P2P控件,在平台服务器和客户端工具对原有Cloud Key进行更换,并对Cloud Key存储方式进行安全优化。


版本获取途径:

请按照上述修复版本或更新版本下载升级。或联系大华区域技术支持人员进行升级。

l云升级 具备云升级能力的产品,相关修复版本均可以通过云升级获得。

l大华官网 中国:https://www.dahuatech.com/service/kitlists/301.html

l大华技术支持人员。

 

联系渠道:

    关于大华股份产品和解决方案的问题,可以通过大华安全应急响应中心DHCC的邮箱: cybersecurity@dahuatech.com反馈给我们。感谢Bashis发现该问题并披露给DHCC。

更新记录:

    2020-05-11 INITIAL