大华智慧园区综合管理平台 /portal/services/carQuery/getNewStaypointDetailQuery 文件 SQL 注入漏洞

漏洞描述

大华综合管理平台”是一款综合管理平台，具备园区运营、和智能服务等功能。平台意在协助优化园区资源分配，满足多元化的管理需求，同时通过提供智能服务，增强使用体验。由于大华综合管理平台getNewStaypointDetailQuery接口处未对用户的输入进行过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息，进一步利用可能获取目标系统权限。 

相关漏洞推荐

dahua-smart-park-deleteftp-rce: 大华智慧园区综合管理平台 deleteFtp 远程命令执行 POC

2025-09-01 | 大华智慧园区综合管理平台

大华智慧园区综合管理平台 deleteFtp 接口存在远程命令执行漏洞。 Fofa: body="/WPMS" || body="src=\"/WPMS/ass...
dahua-smartpark-sql-inject: 大华智慧园区综合管理平台SQL注入 POC

2025-09-01 | 大华智慧园区综合管理平台

大华智慧园区综合管理平台clientServer接口处未对用户的输入进行过滤，存在sql注入，可获取敏感信息。
大华智慧园区综合管理平台&大华DSS存在前台任意用户密码重置漏洞无POC

2025-07-21 15:56:34 | 大华智慧园区综合管理平台

未授权访问漏洞是指攻击者未经过身份验证或绕过身份验证机制，就能够访问系统资源或执行敏感操作的安全漏洞。这种漏洞可能导致敏感信息泄露、数据篡改、服务中断等严重后果，给系统安全性带来极大威胁。
dahua-ipms-rce: 大华智慧园区综合管理平台 ipms 远程代码执行漏洞 POC

2025-09-01 | dahua-ipms

Fofa: body="/WPMS" header_string = "hauc"
LemonLDAP::NG 操作系统命令注入漏洞无POC

2025-09-20 00:03:21 | LemonLDAP::NG

LemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...

漏洞描述

PoC代码

相关漏洞推荐

dahua-smart-park-deleteftp-rce: 大华智慧园区综合管理平台 deleteFtp 远程命令执行 POC

dahua-smartpark-sql-inject: 大华智慧园区综合管理平台SQL注入 POC

大华智慧园区综合管理平台&大华DSS存在前台任意用户密码重置漏洞 无POC

dahua-ipms-rce: 大华智慧园区综合管理平台 ipms 远程代码执行漏洞 POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

大华智慧园区综合管理平台&大华DSS存在前台任意用户密码重置漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC