Huawei VP9660信息泄露漏洞

VP9660是华为视频会议系统的多媒体控制单元。

华为VP9660产品存在服务端未对输入完全做校验的安全漏洞。在使用内置WebServer场景下, 攻击者以业务管理员身份登录到设备后，通过构造修改特定报文信息发送到服务端，可以注入恶意命令，从而导致信息泄露，设备不可用。

前提条件：

1. 攻击者能够以业务管理员身份登录VP9660成功；

2. VP9660在使用内置WebServer场景下存在该漏洞;

攻击步骤：

攻击者以业务管理员身份登录到VP9660设备。攻击者通过构造修改特定报文信息发送到服务端，绕过前端校验，VP9660服务端没有对输入参数完全做校验。攻击者可以注入恶意命令，从而导致信息泄露，设备不可用。