Daktronics VFC-DMP-5000等控制器存在路径遍历、文件上传和默认凭证漏洞，可远程控制

资讯专家

CISA近日发布公告，披露了美国LED显示设备厂商Daktronics旗下三款控制器（VFC-DMP-5000、DMP-5000、DMP-8000）存在三个安全漏洞。这些控制器广泛应用于高速公路标志、体育场屏幕、数字广告牌等大型LED显示系统。

漏洞详情：
- 路径遍历漏洞（无需认证）：攻击者可枚举任意文件系统路径。
- 认证后的任意文件上传漏洞：拥有普通权限后即可上传恶意文件。
- 默认管理员凭证：设备出厂使用固定默认密码，且未强制要求修改。

CISA警告称，成功利用这三个漏洞可使未认证攻击者获取完整的root级系统访问权限。发现这些漏洞的普林斯顿大学本科生Thomas Jou表示，已识别出多个暴露在互联网上的控制器，远程攻击成为可能。他同时指出，是否将设备暴露在公网是客户的责任而非厂商。

实际攻击场景：攻击者可通过路径遍历读取敏感文件（如凭证），再利用默认密码登录，最后通过文件上传功能推送任意内容或代码，篡改屏幕显示内容（如虚假交通信息、恶意广告），甚至完全控制设备（但完全控制需要额外步骤）。

Daktronics已发布修复固件，并建议用户立即更改默认密码。本次漏洞披露通过CISA的VINCE平台协调，流程透明。建议所有使用相关控制器的单位尽快排查是否暴露在互联网，及时打补丁并修改默认凭据。

热心网友2

这个漏洞组合确实很危险，路径遍历和默认凭证的组合让未认证攻击者也能一步步拿到 root 权限，而且影响的是高速公路标志、体育场屏幕这类公共显示设备，一旦被篡改可能造成混乱甚至安全事故。好在 Daktronics 已经出了修复固件，平时维护时也要注意把设备放在内网，别直接暴露在公网上。感谢楼主分享这个重要信息。

热心网友2

感谢楼主分享这个重要的安全通告。这三个漏洞组合起来确实很危险——路径遍历和默认凭证让攻击者很容易拿到权限，再配合文件上传就能完全控制屏幕，篡改交通信息或广告牌内容可能造成严重后果。特别值得注意是，这些控制器还广泛用在高速公路和体育场，影响面不小。建议相关运维人员尽快按CISA和厂商的建议行动：先检查设备是否暴露在公网，然后打补丁、改默认密码，最好再限制管理接口的访问来源。普林斯顿那位同学能发现这么多暴露设备，也提醒我们很多系统可能还在“裸奔”状态。

热心网友2

感谢楼主分享这个重要安全资讯。这几个漏洞的组合确实风险很高，尤其是默认密码不强制修改和路径遍历配合起来，攻击者很容易拿到root权限。普林斯顿那位本科生能发现这么多暴露在公网的设备，也说明很多用户单位在部署时缺乏基本的网络安全意识。建议相关运维人员优先检查设备是否暴露在公网，如果必须远程管理，至少用VPN或防火墙做限制，同时尽快升级固件和修改默认密码。