Dahua security.com ใช้cookiesและเทคโนโลยีที่คล้ายคลึงกัน ต้าหัวใช้การทำงานของ cookies เพื่อให้แน่ใจว่าเว็บไซต์สามารถทำงานได้อย่างถูกต้อง และมีการใช้Analytics Cookiesเพื่อให้ประสบการณ์การใช้งานที่ดีที่สุดสำหรับคุณ และ Third-party cookies รวบรวมข้อมูลนอกเว็บไซต์ของเราด้วย เมื่อคลิกที่ " ยอมรับ" หรือโดยการใช้เว็บไซต์นี้ต่อไป คุณให้ความยินยอมในการตั้งค่า cookies และการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง ข้อมูลเพิ่มเติมเกี่ยวกับเรา cookie statement.

Security Advisory –Information leakage vulnerability found in Dahua Web P2P control

39

SA ID:DHCC-SA-202005-001


First Published:2020-5-11


Summary:


CVE-2020-9501:Web P2Pcontrol information leakage vulnerability


Attackers can obtain Cloud Key information from the Dahua Web P2P control in specific ways. Cloud Key is used to authenticate the connection between the client tool and the platform. An attacker may use the leaked Cloud Key to impersonate the client to connect to the platform, resulting in additional consumption of platform server resources.


Vulnerability Score(CVSS V3.1 http://www.first.org/cvss/specification-document):


CVE-2020-9501


Base Score:5.1 CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Temporal Score:4.6 E:P/RL:O/RC:C


Affected Products & Fix Software:


Dahua has abandoned the web P2P control, replaced the original Cloud Key in the platform server and client tools, and optimized the storage mode of Cloud Key.


Fix Software Download:


Please download the corresponding fix software or its newer version as listed in the above table from Dahua website, or contact Dahua local technical support to upgrade.


Cloud Upgrade: Dahua products have the capability of cloud upgrade. Relevant repair versions can be obtained through cloud upgrade.

Dahua Official Website: Mainland:https://www.dahuasecurity.com/support/downloadCenter

Dahua Technical Support Personnel


Support Resources:


For any questions or concerns related to our products and solutions, please contact Dahua DHCC at cybersecurity@dahuatech.com.

We acknowledge the support of Bashis who discovered this vulnerability and reported to DHCC.