0x00 漏洞编号

• 暂无

0x01 危险等级

• 高危
  

0x02 漏洞概述

海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。

0x03 漏洞详情

漏洞类型：任意文件下载

影响：敏感信息获取

简述：HIKVISION视频编码设备接入网关存在任意文件下载漏洞，未经身份验证的远程攻击者可以在showFile.php接口下载任意文件。

0x04 影响版本

• JeecgBoot <= 3.5.1

0x05 POC

https://peiqi.wgpsec.org/wiki/iot/HIKVISION/HIKVISION%20%E8%A7%86%E9%A2%91%E7%BC%96%E7%A0%81%E8%AE%BE%E5%A4%87%E6%8E%A5%E5%85%A5%E7%BD%91%E5%85%B3%20showFile.php%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8B%E8%BD%BD%E6%BC%8F%E6%B4%9E.html

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.hikvision.com/

原文始发于微信公众号（浅安安全）：漏洞预警 | HIKVISION视频编码设备接入网关任意文件下载漏洞