关于大华智慧园区综合管理平台 searchJson SQL注入漏洞的预警通报

大华智慧园区综合管理平台 searchJson SQL注入漏洞，漏洞威胁等级：高危。

大华智慧园区综合管理平台存在SQL注入漏洞，攻击者可利用该漏洞获取数据库等敏感信息。

（一）漏洞影响范围：

大华智慧园区系统

（二）漏洞修复建议：

一是加强系统和网络的访问控制，修改防火墙策略，不将非必要服务暴露于公网；

二是通过ACL禁止外网对“/portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/”路径的访问；

三是匹配包含"/portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/"和"/{}/"的请求，强化访问控制策略；

四是对服务器上的网站后门文件进行及时查杀；

五是建议用户升级到官方最新版本：https://www.dahuatech.com/。