Ngày 28 tháng 8 năm 2025, Trung tâm Phản ứng An ninh Hikvision (HSRC) đã phát hành Cảnh báo An ninh SN No. HSRC-202508-01, chi tiết về ba **lỗ hổng Hikvision** nghiêm trọng ảnh hưởng đến nhiều sản phẩm HikCentral.

Tổng Quan về Các Lỗ Hổng CVE Hikvision Nghiêm Trọng

Các lỗ hổng này được gán mã định danh **CVE-2025-39245**, **CVE-2025-39246**, và **CVE-2025-39247**.

Mức độ nghiêm trọng của chúng dao động từ trung bình đến cao, có thể cho phép kẻ tấn công thực thi các lệnh trái phép, leo thang đặc quyền hoặc giành quyền truy cập quản trị.

Những **lỗ hổng Hikvision** này đặt ra nguy cơ đáng kể cho các hệ thống giám sát và quản lý sử dụng sản phẩm HikCentral.

CVE-2025-39245: Lỗ hổng CSV Injection trong HikCentral Master Lite

Lỗ hổng đầu tiên, **CVE-2025-39245**, là một lỗ hổng CSV Injection được phát hiện trong các phiên bản **HikCentral Master Lite** từ **2.2.1** đến **2.3.2**.

Trong các phiên bản bị ảnh hưởng, các tệp CSV được tạo một cách độc hại có thể chứa các công thức hoặc lệnh nhúng.

Khi người dùng mở những tệp này bằng các ứng dụng bảng tính, mã độc hại có thể được kích hoạt.

Kẻ tấn công có thể lừa người vận hành kích hoạt các tập lệnh nguy hiểm chỉ bằng cách xem nhật ký hoặc báo cáo được xuất.

Lỗ hổng này được đánh giá với điểm **CVSS v3.1 4.7** (AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L).

Nó yêu cầu quyền truy cập mạng và tương tác của người dùng, nhưng có thể gây ra tác động hệ thống nếu không được khắc phục.

Người dùng được khuyến nghị nâng cấp lên phiên bản **Master Lite 2.4.0**, nơi đã triển khai cơ chế làm sạch đầu vào để vô hiệu hóa các công thức nhúng.

CVE-2025-39246: Lỗ hổng Unquoted Service Path trong HikCentral FocSign

Vấn đề thứ hai, **CVE-2025-39246**, ảnh hưởng đến các phiên bản **HikCentral FocSign** từ **1.4.0** đến **2.2.0**.

Đây là một lỗ hổng Unquoted Service Path phát sinh khi các tệp thực thi dịch vụ Windows nằm trong đường dẫn chứa khoảng trắng nhưng thiếu dấu ngoặc kép trong định nghĩa dịch vụ của chúng.

Một người dùng cục bộ đã xác thực với quyền ghi tệp có thể đặt một tệp nhị phân độc hại vào một đường dẫn ưu tiên cao hơn.

Điều này có thể khiến Windows thực thi tệp độc hại đó với các đặc quyền hệ thống cao.

Với điểm cơ sở **CVSS 5.3** (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N), lỗ hổng này nhấn mạnh sự cần thiết của cấu hình dịch vụ an toàn.

Hikvision đã phát hành phiên bản **FocSign 2.3.0** để khắc phục vấn đề.

Bản vá này bao gồm việc đặt tất cả các đường dẫn dịch vụ trong dấu ngoặc kép và xác minh chữ ký của tệp thực thi, tăng cường an ninh mạng.

CVE-2025-39247: Lỗ hổng Kiểm Soát Truy Cập Nghiêm Trọng trong HikCentral Professional

Lỗ hổng nghiêm trọng nhất được công bố là **CVE-2025-39247**, một lỗ hổng kiểm soát truy cập trong các phiên bản **HikCentral Professional** từ **2.3.1** đến **2.6.2**.

Bằng cách khai thác các kiểm tra xác thực không đủ, một kẻ tấn công từ xa không cần xác thực có thể bỏ qua các kiểm soát truy cập.

Lỗ hổng này cho phép kẻ tấn công giành được các đặc quyền quản trị trên hệ thống bị ảnh hưởng.

Một khi quyền quản trị được cấp, kẻ tấn công có thể cấu hình lại cài đặt hệ thống, tạo tài khoản mới hoặc triển khai phần mềm độc hại.

Được chấm điểm ở mức cực kỳ nghiêm trọng **8.6** (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N), lỗ hổng này gây ra rủi ro cao cho các doanh nghiệp dựa vào HikCentral Professional để giám sát an ninh.

Nó có thể dẫn đến **chiếm quyền điều khiển** hoàn toàn hệ thống, gây ra thiệt hại nghiêm trọng.

Hikvision khuyến nghị nâng cấp lên phiên bản **Professional 2.6.3** hoặc **3.0.1**.

Cả hai phiên bản này đều đóng lỗ hổng xác thực và tăng cường quản lý phiên, cung cấp **bản vá bảo mật** quan trọng.

Khuyến Nghị và Cập Nhật Bảo Mật cho HikCentral

Để có được các phiên bản đã vá lỗi, quản trị viên nên liên hệ với nhóm hỗ trợ kỹ thuật khu vực của mình thông qua cổng thông tin liên hệ của Hikvision.

Các liên kết tải xuống chi tiết cho **FocSign 2.3.0** và **Professional 2.6.3/3.0.1** có sẵn trên trang web của Hikvision, nơi cung cấp cảnh báo bảo mật chính thức của Hikvision.

HSRC đã ghi nhận công lao của Yousef Alfuhaid và Nader Alharbi vì đã cùng báo cáo lỗ hổng CSV Injection.

Eduardo Bido được ghi nhận vì đã xác định lỗ hổng unquoted service path, và Tiến sĩ Matthias Lutter vì đã phát hiện lỗ hổng kiểm soát truy cập.

Việc nhanh chóng áp dụng các bản cập nhật này là điều cần thiết để bảo vệ hệ thống khỏi những **lỗ hổng Hikvision** đã biết.

Các tổ chức cần ưu tiên triển khai các bản vá bảo mật để giảm thiểu rủi ro tiềm ẩn từ các **lỗ hổng CVE** này và duy trì một môi trường an ninh mạng vững chắc.