漏洞描述
通天星CMSV6广泛应用于公交车、出租车、物流车等商用车辆,以及警车、消防车等特种车辆,提高车辆安全性和管理效率,帮助用户了解车辆运行情况,提供有效证据支持事故调查和纠纷解决。通天星CMSV6系统的 /point_manage/merge 接口的name参数存在 SQL 注入漏洞。攻击者可通过输入恶意 SQL 代码,写入恶意的可执行jsp文件,在服务器中任意执行系统命令。攻击者利用此漏洞可能会导致系统中的敏感数据泄露、系统文件篡改、恶意代码执行、信息泄露以及系统权限提升等严重危害,为确保系统和数据安全,需要及时修复漏洞、加强系统安全防护措施。