正文

【漏洞复现】*康*视spon对讲广播系统存在任意文件读取(文末抽奖)

admin
admin V管理员 /0 评论 /119 阅读
0108
此篇文章发布距今已超过319天,您需要注意文章的内容或图片是否可用!

阅读须知

亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!

01

漏洞描述

    此对讲广播系统是一种集成化的通信解决方案,通过语音传输和广播技术实现跨地域、多人群组的实时交流。它提供清晰的语音质量、灵活的群组管理和可靠的通信连接,适用于各种场景下的紧急通讯和协作需求。此系统某接口存在任意文件读取漏洞。


02

资产测绘




Fofa语法:body="vendors/custom/html5.min.js"

03

漏洞复现


04

修复建议


临时缓解方案:

  1. 验证用户输入:对于用户提供的输入,进行有效的验证和过滤。确保输入的路径或文件名只包含允许的字符,并防止任何非法字符或特殊字符被传递给文件系统。

  2. 限制访问权限:确保应用程序的运行环境和服务器配置中,只有必要的文件和目录对外可访问。例如,将敏感文件和目录放在Web根目录之外,限制对其的访问权限。

升级修复方案:

官方已发布安全更新,建议访问官网联系售后升级补丁


05


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网