按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

中華電信 電子開標程式 - Arbitrary File Delete

TVN ID TVN-202412006
CVE ID CVE-2024-12646
CVSS 8.1 (High)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
影響產品 電子開標程式 0.3.14 至 0.3.17 版本
問題描述 中華電信電子開標程式存在Arbitrary File Delete漏洞。該程式會架設簡易本機端網站並提供API與標的網站溝通,由於API未對CSRF做防護,未經身分鑑別之遠端攻擊者可利用釣魚的方式使用這些API,而其中特定API存在Absolute Path Traversal漏洞,使得攻擊者可刪除任意使用者端檔案。
解決方法 更新至0.3.18(含)以後版本
漏洞通報者 趙偉恆
公開日期 2024-12-16
回頁首