TVN ID | TVN-202412005 |
---|---|
CVE ID | CVE-2024-12645 |
CVSS | 6.5 (Medium) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
影響產品 | 電子開標程式 0.3.14 至 0.3.17 版本 |
問題描述 | 中華電信電子開標程式存在Arbitrary File Read漏洞。該程式會架設簡易本機端網站並提供API與標的網站溝通,由於API未對CSRF做防護,未經身分鑑別之遠端攻擊者可利用釣魚的方式使用這些API,而其中特定API存在Relative Path Traversal漏洞,使得攻擊者可讀取任意使用者端檔案。 |
解決方法 | 更新至0.3.18(含)以後版本 |
漏洞通報者 | Chumy Tsai (密友科技有限公司) |
公開日期 | 2024-12-16 |