长亭百川云

高危

通天星CMSV6车载视频监控平台 disable SQL注入漏洞

披露时间:
2024-07-19
更新时间:
2024-07-23
CT 编号
CT-1378616
CVE 编号
N/A
CNVD 编号
N/A
CNNVD 编号
N/A
原理分类
SQL注入
漏洞评分
9.8

漏洞描述

通天星CMSV6车载视频监控平台存在一个SQL注入漏洞。攻击者可以通过在特定的GET请求中注入恶意SQL代码,利用该漏洞对数据库执行任意SQL操作。漏洞存在于/edu_security_officer/disable;downloadLogger.action接口,攻击者可以在ids参数中注入SQL语句,导致数据库执行时间延迟,从而确认SQL注入的成功。此漏洞可能导致数据库中的敏感信息泄露、篡改或删除,严重威胁系统的安全性和数据完整性。

漏洞危害

可能导致包括但不限于以下几种危害:

  1. 数据泄露:攻击者可以获取数据库中的敏感信息,如用户账号、密码、个人信息等。
  2. 数据篡改:攻击者可以修改数据库中的数据,破坏数据的完整性和可靠性。
  3. 服务器攻击:攻击者可能通过注入的SQL代码执行服务器上的恶意代码,获取服务器控制权。
  4. 服务拒绝:攻击者可以通过特定的SQL注入攻击导致数据库服务不可用,影响正常用户的访问。

修复方法

  1. 请尽快联系通天星(通天星官网)获取补丁下载并更新系统,确保系统始终处于最新版本,修复已知的安全漏洞。
  2. 限制对/edu_security_officer/disable;downloadLogger.action接口的访问,仅允许可信任的IP地址或网络范围访问该接口。可以通过配置防火墙或API网关实现这一限制。

评分维度

长亭安全产品覆盖情况

雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统

漏洞时间线

  • 漏洞披露

    2024-07-19

  • 漏洞信息更新

    2024-07-23

关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2