大华智能物联综合管理平台 漏洞列表

大华智能物联综合管理平台是一款集成多项业务管理功能的智能物联基础软件，广泛应用于智能园区和商业综合体等场景。该平台通过融合大华在安防和智能化领域的专业经验和前沿技术，集成视频、门禁、报警、停车场、考勤、访客、可视对讲等多个业务子系统，为客户提供一套集成、高效、开放、灵活可扩展、可定制的平台软件产品。该平台的GetClassValue.jsp接口存在远程代码执行漏洞，未经身份验证的攻击者可以通过该接口发送特制请求，远程执行任意命令，获取系统权限，可能导致敏感信息泄露、系统被完全控制等严重后果。

该漏洞与平台中某个类加载与方法调用的缺陷有关。接口允许通过外部请求动态传入待加载的类名、待执行的方法及相关参数，由于缺乏严格的安全校验和访问控制，攻击者得以在特定条件下执行任意命令。此过程可将执行结果回显到响应中，使攻击者可以验证并利用该漏洞，最终导致远程代码执行。

浙江大华技术股份有限公司智能物联综合管理平台是一款智慧物业APP，可让用户随时随地与家庭或企业保持联系，该系统 GetClassValue存在远程代码执行漏洞，攻击者可通过漏洞获取服务器权限。

SSRF漏洞，即服务器端请求伪造漏洞，是由于服务器端应用程序在处理客户端请求时，未正确验证和过滤URL参数，导致攻击者可以通过构造特定的URL参数，使服务器发起到内部网络或本地的请求。这种漏洞允许攻击者获取内部服务的敏感信息，执行内部网络扫描，甚至可能触发内部服务的漏洞，造成严重的安全威胁。

大华智能物联综合管理平台存在未授权访问漏洞，此漏洞是当用户访问接口getReviewInfoByVisitorId时，未充分验证用户的身份而导致的。

大华智能物联综合管理平台是一个综合性的物联网解决方案，主要用于企业和组织管理和监控各类设备和资源。攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置⽂件等等，导致网站处于极度不安全状态。

大华智能物联综合管理平台是一个综合性的物联网解决方案，主要用于企业和组织管理和监控各类设备和资源。攻击者通过构造特殊URL地址，读取系统敏感信息。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

大华-智能物联综合管理平台是由浙江大华技术股份有限公司推出的一款综合性管理平台，该平台基于物联网技术，旨在为企业和用户提供智能化、便捷化的物联网解决方案。大华-智能物联综合管理平台存在信息泄露漏洞，攻击者可以通过该接口获取用户信息。

浙江大华技术股份有限公司智能物联综合管理平台是一款智慧物业APP，可让用户随时随地与家庭或企业保持联系，该系统存在log4j远程代码执行漏洞，攻击者可通过改漏洞获取服务器权限

/

/

/

/

大华智能物联综合管理平台 is-exist log4j漏洞。

/

大华智能物联综合管理平台存在信息泄露漏洞，此漏洞是用于oauth/token接口对请求用户名为justForTest的密码验证不当造成的。

ICC，即大华浩睿智能物联综合管理平台, 对技术组件进行模块化和松耦合，将解决方案分层分级，提高面向智慧物联的数据接入与生态合作能力。存在命令执行漏洞

敏感信息泄露

大华-智能物联综合管理平台 /evo-apigw/evo-face/personInfo/page 信息泄露，攻击者可以获取用户信息

大华智能物联综合管理平台存在信息泄漏

ICC，即大华浩睿智能物联综合管理平台, 对技术组件进行模块化和松耦合，将解决方案分层分级，提高面向智慧物联的数据接入与生态合作能力。存在目录遍历

大华智能物联综合管理平台 /evo-apigw/evo-cirs/file/readPic 存在任意文件读取漏洞

浙江大华技术股份有限公司智能物联综合管理平台 /evo-apigw//evo-oauth/oauth/token 逻辑漏洞，攻击者可以登录后台

大华智能物联综合管理平台 random 存在rce，攻击者可利用该漏洞获取服务器权限。