漏洞描述
大华综合管理平台”是一款综合管理平台,具备园区运营、和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。由于大华综合管理平台getNewStaypointDetailQuery接口处未对用户的输入进行过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
大华智慧园区综合管理平台 /portal/services/carQuery/getNewStaypointDetailQuery 文件 SQL 注入漏洞
PoC代码
暂无相关漏洞推荐
- dahua-bitmap-fileupload: 大华智慧园区综合管理平台bitmap接口存在任意文件上传
- dahua-sso-initsession-action-create-user: 大华智慧园区综合管理平台远程代码执行漏洞
- POC dahua-smart-park-deleteftp-rce: 大华智慧园区综合管理平台 deleteFtp 远程命令执行
- POC dahua-zhyq-video-fileupload: 大华 智慧园区综合管理平台 video 任意文件上传漏洞
- 大华智慧园区综合管理平台&大华DSS存在前台任意用户密码重置漏洞
- 大华智慧园区综合管理平台 bitmap_findAllMapByUserId.action SQL注入漏洞
- 大华智慧园区综合管理平台 carport_getCarportListByMultiCondition SQL注入漏洞
- 大华智慧园区综合管理平台 任意文件上传漏洞
- 大华智慧园区综合管理平台 任意文件上传漏洞
- 大华智慧园区综合管理平台 groupInfo_resendGroup SQL注入漏洞
- 大华智慧园区综合管理平台 clientServer SQL 注入漏洞
- 大华智慧园区综合管理平台 user_getUserInfoByUserName.action 信息泄漏漏洞
- 大华智慧园区综合管理平台 recover_recover.action 任意文件上传漏洞