阅读须知
亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
01
漏洞描述
某康威视-IVMS-8700是一款专业的视频监控管理软件,为用户提供全面的监控解决方案。该软件支持实时预览、远程回放、报警管理等功能,同时具备智能分析和大规模部署能力。IVMS-8700可以与某康威视的各类监控设备无缝集成,支持多种视频格式和编码方式,同时提供了灵活的存储管理和数据检索功能。此外,IVMS-8700还拥有强大的权限管理系统,能够满足不同用户对监控系统的需求。总之,某康威视-IVMS-8700以其稳定性、可靠性和功能丰富性,成为了企业、政府和公共安全领域的首选监控管理软件之一。该系统软件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。
02
资产测绘
Fofa语法:icon_hash="-911494769"
03
漏洞复现
04
修复建议
-
禁用相关服务或功能,如HTTP服务器中的目录遍历功能等。
-
在Web服务器上配置安全策略,限制网站根目录下的访问权限。
-
对于公开可访问的文件,如图片、视频等,应尽可能不要存储在根目录下,而应该存储在其他目录中。
升级修复方案:
官方已发布安全更新,建议访问官网联系售后升级补丁
05
原文始发于微信公众号(WebSec):(1day)某康威视-IVMS-8700某接口存任意文件读取
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论