漏洞背景

大华 DSS（Digital Surveillance System）数字监控系统是一款功能强大的安防视频监控系统，广泛应用于各类安全监控场景。具备实时监视、云台操作、录像回放、报警处理、设备管理等功能，应用比较广泛。

漏洞描述

今年以来，多家单位使用的大华视频监控系统、大华智慧园区综合管理系统遭境外黑客组织攻击渗透。经核实，浙江大华技术股份有限公司研发的大华 DSS 数字监控系统存在 SQL 注入漏洞。 攻击者可以通过向attachment_clearTempFile.action 发送特殊构造的数据包，利用报错注入获取数据库敏感信息。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

漏洞编号

CNNVD-2024-70214332

影响范围

目前已知下列产品受到影响：

安全建议

该系统应用广泛，并涉及部分高校、党政机关，请各单位高度重视，立即组织排查本单位相关产品使用情况，并采取以下措施及时堵塞安全隐患。同时，加强网络安全监测，如发现遭攻击情况及时处置报告。

1、限制 attachment_clearTempFile_action 接口的访问；

2、联系厂商技术支持人员进行升级修复。

3、关注大华官网，及时获取补丁信息：

https://www.dahuatech.com/