海康威视iVMS 漏洞列表

Hikvision iVMS integrated security system has a vulnerability that allows arbitrary file uploads. Attackers can exploit this vulnerability by obtaining the encryption key to create a forged token. By using the forged token, they can make requests to the "/resourceOperations/upload" interface to upload files of their choice. This can lead to gaining unauthorized webshell access on the server, enabling remote execution of malicious code. Fofa: icon_hash="-911494769"

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

海康威视iVMS集中监控应用管理平台，是以安全防范业务应用为导向，以视频图像应用为基础手段，综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统构建的多业务应用综合管理平台。HIKVISIONiVMS-8700综合安防管理平台存在任意文件读取漏洞，攻击者通过发送特定的请求包可以读取服务器中的敏感文件获取服务器信息。

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

/

海康威视 IVMS8700 iwsbaseservice 信息泄露漏洞，攻击者可构造恶意请求获取系统敏感信息

海康威视 iVMS在/msp/home/upload.action;getPic?&type=ios处存在任意文件上传漏洞

海康威视的 iVMS（Intelligent Video Management System）综合安防系统是一种全面的视频监控和安全管理平台，旨在帮助用户实现对多个安防设备、摄像机和传感器的集中管理和监控。iVMS 是海康威视公司开发的软件，具有强大的功能，适用于各种场景，包括企业、政府机构、教育机构、医疗机构、交通、金融等。攻击者利用文件上传漏洞将恶意文件上传到目标系统。这些文件可以执行任意代码、建立后门，并危害整个系统的安全性。

海康威视iVMS集中监控应用管理平台，是以安全防范业务应用为导向，以视频图像应用为基础手段，综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统构建的多业务应用综合管理平台。HIKVISIONiVMS-8700综合安防管理平台存在任意文件读取漏洞，攻击者通过发送特定的请求包可以读取服务器中的敏感文件获取服务器信息。

海康威视-iVMS综合安防管理平台是一套“集成化”、“数字化”、“智能化”的平台，包含视频、报警、门禁、访客、梯控、巡查、考勤、消费、停车场、可视对讲等多个子系统。攻击者通过获取密钥任意构造token，请求某个接口任意上传文件，导致获取服务器webshell权限，同时可远程进行恶意代码执行。

海康威视iVMS 4200 index.php文件 f参数 存在任意文件读取漏洞

【漏洞对象】海康 【漏洞描述】 泄露源码、数据库配置文件等等，导致网站处于极度不安全状态。