【漏洞文章】大华智能物联综合管理平台远程代码执行漏洞

原创 1ang 小羊安全屋 2025-01-06 01:13

导言

文章仅用作网络安全人员对自己网站、服务器等进行自查检测，不可用于其他用途，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。切勿用于网络攻击！！！

PART 

漏洞描述

大华智能物联综合管理平台 GetClassValue.jsp 接口存在远程代码执行漏洞，未经身份验证的恶意攻击者可以利用该漏洞远程执行任意命令，获取系统权限。

漏洞复现

F O F A ：body=”客户端会小于800”

漏洞详情：

1、打开服务

2、使用POC进行验证

修复建议

1、系统禁止对外开放或采用白名单方式限制访问；

2、升级系统至安全版本。

由于文章不能出现poc，个人星球，欢迎加入

——The  End——