漏洞预警 | HIKVISION视频编码设备接入网关任意文件下载漏洞

admin

138989
文章

114
评论

2023年8月17日14:43:23评论284 views字数 594阅读1分58秒阅读模式

0x00 漏洞编号

暂无

0x01 危险等级

高危

0x02 漏洞概述

海康威视是以视频为核心的智能物联网解决方案和大数据服务提供商。

漏洞预警 | HIKVISION视频编码设备接入网关任意文件下载漏洞

0x03 漏洞详情

漏洞类型：任意文件下载

影响：敏感信息获取

简述：HIKVISION视频编码设备接入网关存在任意文件下载漏洞，未经身份验证的远程攻击者可以在showFile.php接口下载任意文件。

0x04 影响版本

JeecgBoot <= 3.5.1

0x05 POC

https://peiqi.wgpsec.org/wiki/iot/HIKVISION/HIKVISION%20%E8%A7%86%E9%A2%91%E7%BC%96%E7%A0%81%E8%AE%BE%E5%A4%87%E6%8E%A5%E5%85%A5%E7%BD%91%E5%85%B3%20showFile.php%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8B%E8%BD%BD%E6%BC%8F%E6%B4%9E.html

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.hikvision.com/

原文始发于微信公众号（浅安安全）：漏洞预警 | HIKVISION视频编码设备接入网关任意文件下载漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | HIKVISION视频编码设备接入网关任意文件下载漏洞

暂无

红帆HFOffice SQL注入漏洞

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞

UNACMS PHP对象注入漏洞(CVE-2025-32101)

MRCMS（蘑菇建站）跨站脚本漏洞及解决方法（CNVD-2025-05252、CVE-2025-2195）

【风险通告】PyTorch存在远程代码执行漏洞（CVE-2025-32434）

PyTorch 中存在严重的RCE漏洞

CVE-2025-22457：基于堆栈的远程缓冲区溢出的POC验证脚本

Kubernetes CVE-2025-1974 RCE POC

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

CentreStack 反序列化漏洞 (CVE-2025-30406)

发表评论

在线咨询

微信