大华智慧园区综合管理平台RCE漏洞

一、 产品简介

​大华智慧园区综合管理平台”是一款综合管理平台，具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配，满足多元化的管理需求，同时通过提供智能服务，增强使用体验。

二、 漏洞概述

大华智慧园区设备开放了文件上传功能，但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤，导致攻击者可以通过构造恶意文件并上传到设备上，然后利用该漏洞获取权限并执行任意命令。

三、 复现环境

鹰图指纹：web.body=“/WPMS/asset/lib/gridster/”

fofa:body=“/WPMS/asset/lib/gridster/”

四、 漏洞复现