Kritische Sicherheitslücke in Hikvision HikCentral

Das Cyber-Sicherheitsunternehmen VulnCheck veröffentlichte am 30. Juni 2025 eine Warnmeldung zur kritischen Sicherheitslücke CVE-2025-34067 bzw. EUVD-2025-19719 in der Software-Plattform Hikvision HikCentral. CVE-2025-34067 mit dem höchsten CVSS-B-Score von 10/10 ermöglicht Angreifenden Remote Code Execution (RCE).

Potenziell sind alle HikCentral-Versionen von der Schwachstelle betroffen. Das Unternehmen Hikvision stellt bisher keine Updates bereit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt Mitigationsmaßnahmen, die Sie im nächsten Abschnitt finden.

Die HikCentral-Software-Plattform ist eine zentrale Sicherheitsmanagement-Lösung für Sicherheitsgeräte und Überwachungssysteme.

• Lassen Sie durch Ihre Administratoren prüfen, ob der Endpunkt /bic/ssoService/v1/applyCT exponiert ist. Unterbinden Sie Zugriffe aus dem Internet auf diese Systeme.
• Prüfen Sie Ihre Systeme verstärkt auf ausgehenden verdächtigen LDAP-Traffic.
• Prüfen Sie regelmäßig, ob der Hersteller Hikvision eine neue Version der Fastjson-Bibliothek oder sonstige Sicherheitsupdates zu HikCentral veröffentlicht. Installieren Sie diese Updates umgehend.