漏洞背景 

大華 DSS（Digital Surveillance System）數字監控系統是一款功能強大的安防視頻監控系統，廣泛應用于各類安全監控場景。具備實時監視、云臺操作、錄像回放、報警處理、設備管理等功能，應用比較廣泛。

漏洞描述 

今年以來，多家單位使用的大華視頻監控系統、大華智慧園區綜合管理系統遭境外黑客組織攻擊滲透。經核實，浙江大華技術股份有限公司研發的大華 DSS 數字監控系統存在 SQL注入漏洞。攻擊者可以通過向 attachment_clearTempFile.action 發送特殊構造的數據包，利用報錯注入獲取數據庫敏感信息。攻擊者除了可以利用 SQL 注入漏洞獲取數據庫中的信息（例如，管理員后臺密碼、站點的用戶個人信息）之外，甚至在高權限的情況可向服務器中寫入木馬，進一步獲取服務器系統權限。

安全建議

該系統應用廣泛，并涉及部分高校、黨政機關，請各單位高度重視，立即組織排查本單位相關產品使用情況，并采取以下措施及時堵塞安全隱患。同時，加強網絡安全監測，如發現遭攻擊情況及時處置報告。

1、限制 attachment_clearTempFile_action 接口的訪問

2、聯系廠商技術支持人員進行升級修復。文檔編號:HERCERT-SW-202406-27-01

3、關注大華官網，及時獲取補丁信息：https://www.dahuatech.com