通知公告

关于大华智慧园区综合管理平台 searchJson SQL注入漏洞的预警通报
发布日期:2023-09-30 16:52 浏览量:

大华智慧园区综合管理平台 searchJson SQL注入漏洞,漏洞威胁等级:高危。

大华智慧园区综合管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库等敏感信息。

(一)漏洞影响范围:

大华智慧园区系统

(二)漏洞修复建议:

一是加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网;

二是通过ACL禁止外网对“/portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/”路径的访问;

三是匹配包含"/portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/"和"/{}/"的请求,强化访问控制策略;

四是对服务器上的网站后门文件进行及时查杀;

五是建议用户升级到官方最新版本:https://www.dahuatech.com/。