按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

中華電信 電子開標程式 - Arbitrary File Read

TVN ID TVN-202412005
CVE ID CVE-2024-12645
CVSS 6.5 (Medium)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
影響產品 電子開標程式 0.3.14 至 0.3.17 版本
問題描述 中華電信電子開標程式存在Arbitrary File Read漏洞。該程式會架設簡易本機端網站並提供API與標的網站溝通,由於API未對CSRF做防護,未經身分鑑別之遠端攻擊者可利用釣魚的方式使用這些API,而其中特定API存在Relative Path Traversal漏洞,使得攻擊者可讀取任意使用者端檔案。
解決方法 更新至0.3.18(含)以後版本
漏洞通報者 Chumy Tsai (密友科技有限公司)
公開日期 2024-12-16
回頁首