一、 漏洞 CVE-2021-36260 基础信息
漏洞信息
# N/A

## 概述
存在一个命令注入漏洞,影响某些海康威视产品的Web服务器。由于输入验证不足,攻击者可以通过发送包含恶意命令的消息来利用该漏洞发起命令注入攻击。

## 影响版本
未提供具体影响的版本信息。

## 细节
攻击者可以发送包含恶意命令的消息,利用Web服务器输入验证不足的漏洞,以此实现命令注入攻击。

## 影响
成功利用该漏洞可能导致攻击者执行任意命令,从而控制受影响的设备或系统。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input validation, attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Hikvision Web Server 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Hikvision Web Server是中国海康威视(Hikvision)公司的一个Web服务器。用于解析协议,提供服务。 Hikvision Web Server 中存在操作系统命令注入漏洞,该漏洞源于输入验证不足。攻击者可利用该漏洞通过发送带有恶意命令的消息来发起命令注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-36260 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2021-36260 https://github.com/rabbitsafe/CVE-2021-36260 POC详情
2 command injection vulnerability in the web server of some Hikvision product. Due to the insufficient input validation, attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands. https://github.com/Aiminsun/CVE-2021-36260 POC详情
3 the metasploit script(POC) about CVE-2021-36260 https://github.com/TaroballzChen/CVE-2021-36260-metasploit POC详情
4 CVE-2021-36260 https://github.com/tuntin9x/CheckHKRCE POC详情
5 海康威视RCE漏洞 批量检测和利用工具 https://github.com/Cuerz/CVE-2021-36260 POC详情
6 None https://github.com/TakenoSite/Simple-CVE-2021-36260 POC详情
7 Brute Hikvision CAMS with CVE-2021-36260 Exploit https://github.com/r3t4k3r/hikvision_brute POC详情
8 None https://github.com/haingn/HIK-CVE-2021-36260-Exploit POC详情
9 A simple workflow that runs all Hikvision related nuclei templates on a given target. https://github.com/projectdiscovery/nuclei-templates/blob/main/workflows/hikvision-workflow.yaml POC详情
10 Certain Hikvision products contain a command injection vulnerability in the web server due to the insufficient input validation. An attacker can exploit the vulnerability to launch a command injection attack by sending some messages with malicious commands. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-36260.yaml POC详情
11 None https://github.com/Threekiii/Awesome-POC/blob/master/%E7%BD%91%E7%BB%9C%E8%AE%BE%E5%A4%87%E6%BC%8F%E6%B4%9E/HIKVISION%20DSIDSIPC%20%E7%AD%89%E8%AE%BE%E5%A4%87%20%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2021-36260.md POC详情
12 None https://github.com/chaitin/xray-plugins/blob/main/poc/manual/hikvision-unauthenticated-rce-cve-2021-36260.yml POC详情
三、漏洞 CVE-2021-36260 的情报信息