语言选择
投资者关系

安全预警 - 大华智能运维管理系统存在SQL注入漏洞和文件下载权限漏洞

预警编号:DHCC-SA-201711-001

初始发布时间:2017-11-01

漏洞描述:

智能运维管理系统DH-NMS8100存在SQL注入漏洞,可被攻击者利用获取部分数据信息。 智能运维管理系统DH-NMS8100存在文件下载权限漏洞,可被攻击者利用获取部分系统信息。

 

漏洞编号:

1. SQL注入漏洞

2. 文件下载漏洞

 

漏洞评分:

该漏洞使用CVSS v3标准进行分级评分( http://www.first.org/cvss/specification-document

1. SQL注入漏洞

基础得分:7.7(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)

临时得分:6.7(E:P/RL:O/RC:C)

2. 文件下载漏洞

基础得分:5.0(AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N)

临时得分:4.5(E:P/RL:O/RC:C)

 

影响范围及修复程序:

DH-NMS8100设备的General_NMS_Chn_IS_V3.06.001.R及以前版本。 


 

版本获取途径:

1)大华已经针对上述漏洞进行修复,修复补丁链接如下:http://www.dahuatech.com/index.php/service/kitlists/1303.html2)亦可通过大华安全应急响应中心DHCC的邮箱获取:cybersecurity@dahuatech.com。为避免出现由更新导致的异常情况,建议用户直接联系大华区域技术支持人员进行升级。 


联系渠道:

    关于大华股份产品和解决方案的问题,可以通过大华安全应急响应中心DHCC的邮箱: cybersecurity@dahuatech.com 反馈给我们。

更新记录:

    2017-11-01 INITIAL