1、产品简介
海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控、联网报警、智能分析、运维管理等多种安全防范应用系统,构建的多业务应用综合管理平台。
2、漏洞概述
海康威视iVMS系统存在在野 0day 漏洞,攻击者通过获取密钥任意构造token,请求/resourceOperations/upload接口任意上传文件,导致获取服务器webshell权限,同时可远程进行恶意代码执行。
3、影响范围
海康威视综合安防系统iVMS-5000
海康威视综合安防系统 iVMS-8700
4、修复建议
关闭互联网暴露面访问的权限,文件上传模块做好权限强认证。
等待厂商发布补丁,尽快升级。
海康这方面还是很强的