| CVE編號 | CVE-2015-2870、 CVE-2015-2871 |
|---|---|
| 影響產品 | Model BF-660C, BF-630, BF-630W等指紋辨識裝置模組 |
| 解決辦法 | 目前廠商尚未提供解決方式,初步建議讓該裝置在獨立網路運作,以避免駭客遠端進行存取,若有必要請採取VPN方式可降低受攻擊機會 |
| 張貼日 | 2015-08-04 |
| 上稿單位 | TWCERT/CC |
奇友科技總部設立在台灣,主要的產品為指紋存取控制裝置,該裝置存在HTML的[removed] 標籤並未過濾傳遞給裝置URL的弱點,導致遠端駭客可以造成XSS攻擊,而另一個弱點則是繞過認證的問題,駭客可以透過已知的路徑來存取或修改裝置的設定,已知的模組包含Model BF-660C, BF-630, BF-630W
編註:駭客可能利用這些漏洞盜用cooie取得機敏資訊或是取得更高權限。