TWCERT/CC 漏洞揭露範本 TWCERT/CC CVE Team 漏洞揭露政策: http://surl.twcert.org.tw/gyRgA ========================================= ※ 前方有 * 符號為必填項目。 *通報日期: 2019 年 4 月 11 日 通報者資訊: *名稱:Domo kun 組織: *Email:domokun@domo.tw *是否公開名稱及組織:□ 是 ■ 否 *漏洞資訊來源: ■ 自己發現 □ 其他: *漏洞發現日期: 2019 年 4 月 9 日 *影響產品名稱:badbutwork *版本:1.24 *產品開發者/廠商:techOh Inc. *產品網站:https://www.techoh.tw/ *漏洞類型:任意程式碼執行 *漏洞說明: 漏洞描述: 軟體並未對輸入的參數做驗證,導致攻擊者可以透過參數執行任意指令。 觸發漏洞特定條件: 1. 要能夠接觸本機或使用者執行惡意腳本 觸發漏洞方法: 1. badbutwork -i cat /etc/passwd -t 佐證資料: 如附件截圖及影片 *漏洞威脅: 攻擊者可以透過惡意腳本觸發該漏洞,並進而接管該主機。 CVSS v3.1 分數: CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H FIRST CVSS 計算機:https://www.first.org/cvss/calculator/3.1 其他說明: N/A