安全公告-pg科技部分NVR存在反射型XSS漏洞

公告編號：USRC-202406-01

初始發(fā)布時間：2024-06-14

漏洞概述：

     pg科技部分NVR產(chǎn)品存在反射型XSS跨站腳本漏洞。攻擊者向用戶發(fā)送一個URL，如果用戶點擊該 URL，則可能會在其瀏覽器中執(zhí)?惡意JavaScript腳本。此漏洞還需要?份驗證才能利用，因此影響范圍和嚴重性有限，即使執(zhí)行了JavaScript腳本，也不會獲得任何額外好處。

建議關(guān)閉端口靜態(tài)映射和UPnP功能避免受到來自互聯(lián)網(wǎng)的攻擊。

漏洞編號：CVE-2024-3850

漏洞評分：

該漏洞使用CVSS v3標準進行分級評分（http://www.first.org/cvss/specification-document）

基礎(chǔ)得分：5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)

影響版本和修復(fù)版本：

版本獲取途徑：

請獲取修復(fù)版本升級，如需幫助請聯(lián)系設(shè)備購買渠道、pg400熱線或區(qū)域售后服務(wù)人員。

部分具備云升級能力的產(chǎn)品，相關(guān)修復(fù)版本可以通過云升級獲得。

漏洞來源：

感謝CISA發(fā)現(xiàn)該問題并報告給pg科技。

聯(lián)系渠道：

關(guān)于pg科技產(chǎn)品和解決方案的安全問題，請通過security@uniview.com反饋給我們。

在線客服

工作日：08:30-18:00