Easy7 漏洞列表

天地伟业Easy7平台存在前台的任意文件读取接口，可构造请求包，读取系统内部敏感文件，造成信息泄露。

天地伟业Easy7是一款广泛应用于安防监控领域的产品。该漏洞存在于/Easy7/rest/file/downloadResource路径中，攻击者通过构造恶意路径参数（如/../../../../../../../../etc/passwd）可读取服务器上的任意文件，可能导致敏感信息泄露（如系统配置文件、用户凭证等）。由于天地伟业产品多用于关键基础设施领域，若存在公网暴露实例，可能带来严重的安全风险。

天地伟业Easy7平台版软件已经是非常灵活的开放式平台，若充分利用平台兼容能力，将能很快把业内最新技术兼容进来，构建更强大的安防监控系。该应用存在前台的任意文件上传接口，可构造请求包，上传webshell文件并保存在任意路径，从而控制服务器。天地伟业Easy7视频监控平台远程命令执行漏洞利用难度极低，可在未登录的状态下直接发送恶意请求包造成利用，可能被蠕虫、黑客组织批量利用。