按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

中華電信 文件傳輸程式 - Arbitrary File Write

TVN ID TVN-202412002
CVE ID CVE-2024-12642
CVSS 8.1 (High)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
影響產品 文件傳輸程式 0.41.151 至 0.41.156 版本
問題描述 中華電信文件傳輸程式存在 Arbitrary File Write漏洞。該程式會架設簡易本機端網站並提供API與標的網站溝通,由於API未對CSRF做防護,未經身分鑑別之遠端攻擊者可利用釣魚的方式使用這些API,而其中特定API存在Relative Path Traversal漏洞,使得攻擊者可於使用者端寫入任意檔案至任意路徑。
解決方法 更新至0.41.157(含)以後版本
漏洞通報者 Chumy Tsai (密友科技有限公司)
公開日期 2024-12-16
回頁首