文章总结： 本文披露宇视科技视频管理系统VM.php接口存在远程命令执行漏洞，攻击者可利用此漏洞上传测试文件并读取服务器敏感信息。文中提供了FOFA指纹语法用于识别受影响资产，并展示了漏洞复现的具体数据包及结果。建议相关资产持有者及时排查并修复系统漏洞以防止被非法利用。 综合评分： 80 文章分类： 漏洞分析,漏洞POC,WEB安全

宇视科技视频管理系统VM.php接口存在远程命令执行漏洞

原创

zz

星络安全实验室

2025年12月25日 22:17 重庆

| | | — | | 免责声明:文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责作者不为此承担任何责任，一旦造成后果请自行负责 |

浙江宇视科技有限公司（Uniview，简称宇视科技）是千方科技旗下、2011 年成立的全球 AIoT 产品 / 解决方案与全栈式能力提供商，以 ABCI（AI / 大数据 / 云计算 / IoT）为核心，聚焦安防、智能交通等领域。宇视科技视频管理系统VM.php接口存在远程命令执行漏洞

fofa搜索：

/Script/Public/Language.js.php

复现数据包如下

上传测试文件

读取文件：

复现成功

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星络安全实验室 zz《宇视科技视频管理系统VM.php接口存在远程命令执行漏洞》