按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::
發布日期:
字型大小:

全景軟體 IDExpert - OS Command Injection

TVN ID TVN-202410026
CVE ID CVE-2024-10653
CVSS 7.2 (High)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
影響產品 IDExpert 2.6.1 至 2.8.1.240620 版本
問題描述 全景軟體IDExpert未妥善驗證管理者介面特定功能參數,已取得管理權限之遠端攻擊者可注入OS指令並於伺服器上執行
解決方法 更新至 2.8.1.240731(含)以後版本,並建議管理者介面啟用「連線IP白名單功能」以減少被攻擊的機會。
漏洞通報者 yc, Xin-Yue Song(CHT Security)
公開日期 2024-10-31
回頁首