漏洞描述
大华智慧园区综合管理平台是大华技术提供的一种智能化解决方案,旨在提供全面的园区管理和安全监控功能。大华智慧园区综合管理平台 searchJson 存在SQL注入漏洞
漏洞危害
1、数据泄露:攻击者可以通过注入恶意SQL语句来获取数据库中的敏感信息,如用户密码、信用卡信息;
2、数据篡改:攻击者可以利用注入攻击修改或删除数据库中的数据,如修改用户账户信息或删除关键数据;
3、服务器攻击:攻击者可以利用注入攻击在服务器上执行恶意代码,如上传恶意脚本或获取服务器的管理员权限;
4、服务拒绝:攻击者可以通过注入攻击导致服务器宕机或无法正常工作,从而影响服务的可用性。
修复方法
一、临时缓解措施:
在确保业务不受影响的前提下,可暂时拦截对/portal/services/carQuery/getFaceCapture/searchJson/{}/pageJson/{"orderBy":"1 and 1=updatexml(1,concat(0x7e,(select md5({{rStr3}})),0x7e),1)--"}/extend/{}接口的访问请求。
限制访问来源地址,如非必要,不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本,下载地址:https://www.dahuatech.com/
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-08-12
漏洞信息更新
2025-03-24
