VP9660是华为视频会议系统的多媒体控制单元。
华为VP9660产品存在服务端未对输入完全做校验的安全漏洞。在使用内置WebServer场景下, 攻击者以业务管理员身份登录到设备后,通过构造修改特定报文信息发送到服务端,可以注入恶意命令,从而导致信息泄露,设备不可用。
前提条件:
攻击者能够以业务管理员身份登录VP9660成功;
VP9660在使用内置WebServer场景下存在该漏洞;
攻击步骤:
攻击者以业务管理员身份登录到VP9660设备。攻击者通过构造修改特定报文信息发送到服务端,绕过前端校验,VP9660服务端没有对输入参数完全做校验。攻击者可以注入恶意命令,从而导致信息泄露,设备不可用。