海康威视综合安防管理平台Fastjson远程命令执行漏洞
简介
海康威视综合安防管理平台是一款基于“统一软件技术架构”理念设计的综合安防管理系统,适用于全行业通用综合安防业务。该平台通过整合视频监控、一卡通、停车场、报警检测等系统的设备,实现统一部署、配置、管理和调度。
漏洞描述
海康威视综合安防管理平台存在Fastjson远程命令执行漏洞。该漏洞允许攻击者通过远程方式执行系统命令,从而获取目标服务器的系统权限和敏感数据信息。
影响版本
- V2.0.0 <= iVMS-8700 <= V2.9.2
- V1.0.0 <= iSecure Center <= V1.7.0
漏洞复现
攻击者可以通过特定的数据包请求,利用Fastjson漏洞执行系统命令。具体复现步骤包括使用DNSLog测试漏洞存在性,以及进一步利用JNDIExploit工具执行系统命令。
修复方案
目前厂商已提供修复补丁,建议用户前往官网下载对应版本的补丁进行修复,以防止漏洞被利用。
免责声明
请勿利用本文内的相关技术从事非法测试。由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与文章作者无关。该文章仅供学习用途使用。