20736专题

大华城市安防监控系统平台 任意文件下载漏洞复现(QVD-2023-20736)

0x01 产品简介 大华城市安防监控系统平台是大华开发的一款安防视频监控系统,拥有实时监视、云台操作、录像回放、报警处理、设备管理等功能。 0x02 漏洞概述 大华城市安防监控系统平台 attachment_downloadByUrlAtt.action接口存在任意文件下载漏洞,未经身份验证的攻击者 可以获取系统内部敏感文件信息,使系统处于极不安全的状态。 0x03 复现环境 FOFA: