TVN ID | TVN-202412002 |
---|---|
CVE ID | CVE-2024-12642 |
CVSS | 8.1 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H |
影響產品 | 文件傳輸程式 0.41.151 至 0.41.156 版本 |
問題描述 | 中華電信文件傳輸程式存在 Arbitrary File Write漏洞。該程式會架設簡易本機端網站並提供API與標的網站溝通,由於API未對CSRF做防護,未經身分鑑別之遠端攻擊者可利用釣魚的方式使用這些API,而其中特定API存在Relative Path Traversal漏洞,使得攻擊者可於使用者端寫入任意檔案至任意路徑。 |
解決方法 | 更新至0.41.157(含)以後版本 |
漏洞通報者 | Chumy Tsai (密友科技有限公司) |
公開日期 | 2024-12-16 |