TVN ID | TVN-202412003 |
---|---|
CVE ID | CVE-2024-12643 |
CVSS | 8.1 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H |
影響產品 | 電子投標程式 0.3.15 至 0.3.20 版本 |
問題描述 | 中華電信電子投標程式存在Arbitrary File Delete漏洞。該程式會架設簡易本機端網站並提供API與標的網站溝通,由於API未對CSRF做防護,未經身分鑑別之遠端攻擊者可利用釣魚的方式使用這些API,而其中特定API存在Absolute Path Traversal漏洞,使得攻擊者可刪除任意使用者端檔案。 |
解決方法 | 更新至0.3.21(含)以後版本 |
漏洞通報者 | Mamie Tang |
公開日期 | 2024-12-16 |