| TVN ID | TVN-202412004 |
|---|---|
| CVE ID | CVE-2024-12644 |
| CVSS | 7.1 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:L |
| 影響產品 | 電子投標程式 0.3.15 至 0.3.20 版本 |
| 問題描述 | 中華電信電子投標程式存在Arbitrary File Copy and Paste漏洞。該程式會架設簡易本機端網站並提供API與標的網站溝通,由於API未對CSRF做防護,未經身分鑑別之遠端攻擊者可利用釣魚的方式使用這些API,而其中特定API存在Absolute Path Traversal漏洞,攻擊者可於使用者端複製任意檔案並貼上至任意路徑,造成潛在資訊洩漏的風險,或是透過大量複製檔案占用硬碟空間。 |
| 解決方法 | 更新至0.3.21(含)以後版本 |
| 漏洞通報者 | Mamie Tang |
| 公開日期 | 2024-12-16 |
:::