大華智慧園區(qū)綜合管理平臺(tái) searchJson SQL注入漏洞，漏洞威脅等級(jí)：高危。

大華智慧園區(qū)綜合管理平臺(tái)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)等敏感信息。

（一）漏洞影響范圍：

大華智慧園區(qū)系統(tǒng)

（二）漏洞修復(fù)建議：

一是加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的訪問(wèn)控制，修改防火墻策略，不將非必要服務(wù)暴露于公網(wǎng)；

二是通過(guò)ACL禁止外網(wǎng)對(duì)“/portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/”路徑的訪問(wèn)；

三是匹配包含"/portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/"和"/{}/"的請(qǐng)求，強(qiáng)化訪問(wèn)控制策略；

四是對(duì)服務(wù)器上的網(wǎng)站后門文件進(jìn)行及時(shí)查殺；

五是建議用戶升級(jí)到官方最新版本：https://www.dahuatech.com/。