大华dss 漏洞列表

大华DSS Digital Surveillance System系统 fofa: app="dahua-DSS"

大华dss城市平安/login_getPasswordErrorNum.action接口存在sql注入，未经身份验证攻击者可通过接口获取数据库数据。

大华 DSS 数字监控系统是一款广泛应用于安防领域的视频监控管理平台。该系统的 /emap/group_saveGroup 接口存在SQL注入漏洞，攻击者可以通过构造恶意请求执行任意SQL命令，可能导致敏感信息泄露或系统被进一步攻击。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

反序列化漏洞主要发生在应用程序未对用户输入的序列化字符串进行充分检查的情况下，攻击者可以通过构造恶意的序列化数据来进行攻击，从而控制应用程序的行为，执行任意代码，访问或修改敏感数据，甚至可能导致整个系统的控制权被攻陷。

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

大华DSS安防监控系统平台采用ApacheStruts2作为网站应用框架。/portal/login_init.action接口存在远程命令执行漏洞，攻击者可以通过在上传文件时修改HTTP请求标头中的ContentType值来触发该漏洞，然后执行该漏洞。系统命令以获取服务器权限

大华DSS数字监控系统是一款高效、稳定且全面的视频监控解决方案，广泛应用于企业和组织。该系统的attachment_downloadAtt.action接口存在文件读取漏洞，攻击者无需身份验证即可利用此漏洞读取系统内部敏感文件信息，可能导致敏感数据泄露，严重威胁系统安全。

大华 DSS 数字监控系统是大华开发的一款安防视频监控系统，拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能大华 DSS存在SQL注入漏洞，攻击者 /portal/attachment_getAttList.action 路由发送特殊构造的数据包，利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。攻击者可能利用泄露的信息进行进一步的攻击，如身份盗窃、欺诈、数据篡改等。

未授权访问漏洞是指攻击者未经过身份验证或绕过身份验证机制，就能够访问系统资源或执行敏感操作的安全漏洞。这种漏洞可能导致敏感信息泄露、数据篡改、服务中断等严重后果，给系统安全性带来极大威胁。

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

大华DSS城市安防监控平台存在Struct2-045命令执行漏洞，攻击者可以利用此漏洞获取服务器权限。

DSS是大华的大型监控管理应用平台，支持几乎所有涉及监控等方面的操作，支持多级跨平台联网等操作。 可将视频监控、卡口拍照、 区间测速、电子地图、违章查询系统等诸多主流应用整合在一起，实现更加智能、便捷的分级查询服务。大华DSS视频管理系统group_saveGroup存在SQL注入漏洞。未经身份认证的攻击者可以利用该漏洞获取数据库权限及数据库的敏感数据。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

大华DSS系统存在sql注入漏洞，该漏洞是由于group_saveGroup接口对用户的请求验证不当导致的。

大华 DSS 是一套由浙江大华技术股份有限公司开发的视频监控管理系统。这套系统提供了全面的视频监控解决方案，适用于多种应用场景，从家庭安全到大型商业设施及公共安全项目。该套系统 user_toLoginPage.action 接口中存在远程命令执行漏洞，在 Content-Type 中存在攻击点

鉴权绕过漏洞是指攻击者通过某些手段绕过系统的正常权限验证机制，获取未授权的访问或执行权限。这种漏洞通常存在于身份验证、授权检查、权限控制等环节的不足或缺陷中，使得未经授权的用户能够访问或操作敏感数据、执行关键操作，甚至获取系统控制权。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

大华DSS城市安防监控平台是一个专门用于视频监控的系统。大华DSS城市安防监控平台user_edit.action信息泄露漏洞、可获取账号和密码。

大华DSS数字监控系统存在信息泄露漏洞，此漏洞是用户访问config_list.action时，未充分验证用户身份导致的。

大华DSS数字监控系统是大华开发的一款安防视频监控系统，拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。

/

/

/

/

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

/

/

/

/

/

/

/

/

/

/

大华DSS 平安城市 /itc/attachment_downloadAtt.action 存在任意文件下载漏洞。

/

大华DSS视频管理系统 attachment_getAttList接口存在SQL注入漏洞，攻击者可以利用该漏洞获取数据库敏感信息。

大华DSS视频管理系统是一套专业的视频监控管理平台，它提供了一系列的功能模块以满足不同场景下的监控需求。其在attachment_clearTempFile.action接口bean.RecId处存在SQL注入，攻击者可以利用该漏洞获取数据库敏感信息。

大华DSS是视频监控系统,系统存在信息泄漏，泄漏管理员密码。

大华dss /admin/cascade_/user_edit.action 信息泄露，攻击者可以获取管理员信息

大华DSS SZFTService 存在远程命令执行漏洞，攻击者可利用该漏洞执行任意命令获取服务器权限。

大华DSS login_login.action 存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

大华 DSS 数字监控系统是大华开发的一款安防视频监控系统，拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。攻击者可向 /portal/services/itcBulletin 路由发送特殊构造的数据包，利用报错注入获取数据库敏感信息。

浙江大华技术股份有限公司DSS监控管理应用平台存在远程代码漏洞，攻击者可利用该漏洞执行任意命令

浙江大华DSS综合管理平台 sendCustomerMsg 存在fastjson反序列化漏洞，可导致远程代码执行

大华智慧园区综合管理平台是大华技术提供的一种智能化解决方案，旨在提供全面的园区管理和安全监控功能。大华智慧园区综合管理平台的 attachment_downloadByUrlAtt.action 存在文件读取漏洞。

大华dss大华车载监控平台存在任意密码重置漏洞。payload将密码重置为admin/Aa112233，攻击者可以通过登录口config/user_toLoginPage.action登陆后台获取大量敏感信息。

大华DSS（Digital Surveillance System）是浙江大华技术股份有限公司研发的数字监控管理系统。大华DSS城市安防监控系统平台/emap/bitmap/bitMap_addLayer.action文件jsonstr参数存在文件上传漏洞，会导致getshell。

浙江大华DSS综合管理平台 /bitMap_uploadPic.action 路径存在任意文件上传漏洞

大华综合管理平台DSS存在任意文件上传

大华DSS存在任意文件读取漏洞，攻击者可以利用系统内存在的漏洞读取到系统中任意文件的内容

浙江大华DSS（digital surveillance system是一款集视频、报警、门禁、对讲四大安防子系统管理功能于一体的综合管理平台。 浙江大华技术股份有限公司DSS存在任意文件下载漏洞，攻击者可利用该漏洞登录界面下载任意文件获取敏感信息。

大华DSS存在默认口令，攻击者可登录后台获取大量敏感信息

大华DSS系统,参数过滤存在不严谨，导致任意文件下载

大华DSS-平安城市采用Apache Struts2作为网站应用框架，由于该软件存在一个远程命令执行漏洞，攻击者可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令，获得服务器权限。

【漏洞对象】大华DSS 【漏洞描述】 该系统/emap/bitmap/bitMap_uploadPic.action文件存在未授权访问上传getshell漏洞，攻击者无需认证访问到内部数据，可导致敏感信息泄露，从而获取服务器权限。

【漏洞对象】大华DSS 【漏洞描述】 该系统/emap/bitmap/bitMap_addLayer.action文件jsonstr参数存在未授权访问上传getshell漏洞，攻击者无需认证访问到内部数据，可导致敏感信息泄露，从而获取服务器权限。