天地伟业 /Easy7/rest/itsFacility/query SQL 注入漏洞

影响产品：天地伟业 CVSS：7 漏洞类型：SQL注入 漏洞描述： 天地伟业Easy7是一款视频监控管理软件系统，广泛应用于安防监控领域，提供视频管理、设备控制、报警处理等功能。其/Easy7/rest/itsFacility/query接口因未对用户输入进行充分过滤，存在SQL注入漏洞。攻击者可通过构造恶意SQL语句获取数据库中的敏感信息，如监控配置、用户凭证等，进而影响视频监控系统的正常运行和数据完整性。 影响： 攻击者可通过注入恶意SQL语句获取数据库中的敏感信息，包括监控配置、用户凭证等企业内部数据 修复建议： 升级到最新版本，或对参数进行严格过滤，后端使用参数化查询方式，不直接拼接变量 FOFA： body="/Easy7/apps/WebService/LogIn.jsp" || body="Easy7/VideoLib.EXE" || body="/Easy7/index.html" || (body="logo_transparent.png" && title="平台")