TWCERT/CC 漏洞揭露範本 TWCERT/CC CVE Team 漏洞揭露政策: https://www.twcert.org.tw/tw/dl-100-f9599d0d4c484820813eb561de79b454.html ========================================= ※ 前方有 * 符號為必填項目。 *通報日期: 2021 年 4 月 26 日 通報者資訊: *名稱:Domo kun 組織: *Email:domokun@domo.tw *是否公開名稱及組織:■ 是 □ 否 *漏洞資訊來源: ■ 自己發現 □ 其他: *漏洞發現日期:2021 年 4 月 26 日 *影響產品名稱:badbutwork *版本:2.0 *產品開發者/廠商:techOh Inc. *產品網站:https://www.techoh.tw/ *漏洞類型:任意程式碼執行 *漏洞說明: 漏洞描述: 軟體並未對輸入的參數做驗證,導致攻擊者可以透過參數執行任意指令。 觸發漏洞特定條件: 要能夠接觸本機或使用者執行惡意腳本 觸發漏洞方法: badbutwork -i cat /etc/passwd -t 觸發漏洞所須權限: ■ 不須權限 □ 一般使用者 □ 管理者 □ 其他(請附註說明) 佐證資料: 如附件截圖及影片 *漏洞威脅(影響描述): Confidentiality (C): 導致攻擊者可查看任意系統檔案 Integrity (I): 修改系統設定或檔案 Availability (A): 可能刪除系統檔案使系統無法使用 *CVSS v3.1 Vector String:(FIRST CVSS 計算機:https://www.first.org/cvss/calculator/3.1) CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H *CWE types:(CWE網站:https://cwe.mitre.org/index.html) CWE-502 Deserialization of Untrusted Data 其他說明: N/A