天地伟业Easy7视频监控管理平台在实现exportGisObj接口时，未对用户提交的文件路径参数进行有效校验，导致攻击者可以通过构造特定的HTTP请求，读取服务器任意文件内容。例如，攻击者可通过目录遍历（如../../../../etc/passwd）方式，获取系统敏感文件，进而导致敏感信息泄露，严重时可为进一步攻击（如获取口令、配置文件等）提供条件。

waf拦截相关特征../ 关注厂商发布更新升级最新版本