大华综合管理平台DSS attachment_downloadByUrlAtt.action 任意文件下载漏洞

大华智慧园区综合管理平台是大华技术提供的一种智能化解决方案，旨在提供全面的园区管理和安全监控功能。大华智慧园区综合管理平台的 attachment_downloadByUrlAtt.action 存在文件读取漏洞。

1、如果被攻击者利用，可导致服务器敏感信息泄漏。例如：/etc/passwd、/etc/shadow、/ect/hosts等；
2、如果被攻击者利用，可导致后台代码被下载；
3、如果被攻击者利用，可导致数据库被下载。

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对/portal/rest/attachment_downloadByUrlAtt.action接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本。