TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-飛騰雲端 HR Portal - Weak Password Recovery Mechanism for Forgotten Password

飛騰雲端 HR Portal - Weak Password Recovery Mechanism for Forgotten Password

TVN ID	TVN-202309001
CVE ID	CVE-2023-34357
CVSS	7.8 (High) CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
影響產品	HR Portal: 7.3.2023.0510、7.3.2023.0705
問題描述	飛騰雲端 HR Portal 含有脆弱密碼重設機制。密碼重設連結在密碼重設後以及預期時效過後仍然有效。遠端攻擊者可利用此漏洞進行密碼修改，進而登入系統，操作該登入帳號的權限。
解決方法	更新至7.3.2023.0705
漏洞通報者	Chun Li Lin (CHT Security)
公開日期	2023-09-04

飛騰雲端 HR Portal - Weak Password Recovery Mechanism for Forgotten Password