Múltiplas falhas da Hikvision permitem execução de comandos arbitrários
O Hikvision Security Response Center (HSRC) divulgou três falhas críticas em seu software HikCentral, identificadas como CVE-2025-39245 a CVE-2025-39247. As vulnerabilidades incluem injeção de CSV, que permite a execução de comandos arbitrários ao importar arquivos maliciosos, e falhas de controle de acesso que podem permitir que usuários não autenticados adquiram privilégios administrativos. A injeção de CSV afeta versões do HikCentral Master Lite entre V2.2.1 e V2.3.2, enquanto a falha de caminho de serviço não citado afeta o HikCentral FocSign nas versões V1.4.0 a V2.2.0. A falha de bypass de controle de acesso, considerada a mais crítica, afeta o HikCentral Professional nas versões V2.3.1 a V2.6.2, com um escore CVSS de 8.6, indicando um alto potencial de controle não autorizado sobre sistemas de vigilância. A Hikvision recomenda que os usuários atualizem imediatamente para as versões corrigidas para evitar possíveis explorações.