漏洞介绍近日,鲲鹏实验室监测到部分海康威视iVMS系统存在在野0day 漏洞,鲲鹏实验室立即对其进行分析,发现该漏洞影响面较大,攻击者可通过鉴权绕过进行任意文件上传获取服务器权限。
漏洞详情攻击者通过获取密钥任意构造token,请求某个接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。
影响版本目前已知:海康威视综合安防系统iVMS-5000海康威视综合安防系统 iVMS-8700
修复建议联系厂商进行处置。
目前我司天防视频网络安全检查工具、天慧视频监控网络空间安全监测服务平台已具备漏洞检测能力,欲了解更多请登录官网www.tianfangsec.com或与我们联系。
鲲鹏实验室简介
鲲鹏实验室是天防安全负责物联网安全攻防对抗,渗透测试、漏洞挖掘与分析、威胁情报监测与应用、恶意软件分析等的能力中心,在物联网安全漏洞分析溯源,威胁情报监测、事件通报预警、应急响应处置、重大安保与支撑等多个领域取得了丰硕的成果,成立至今已经发现数十个IoT通用安全原创漏洞,均获得国内外主流漏洞共享平台与公共漏洞披露平台的收录与证明。
文章版权声明:除非注明,否则均为婴童网原创文章,转载或复制请以超链接形式并注明出处。