國內某教育訓練管理系統具有多項漏洞

風險等級：	高度威脅
摘要：	中華資安國際研究團隊獨家挖掘出國內某教育訓練管理系統具有多項漏洞，包括：具有敏感資訊洩漏、跨網站腳本攻擊(Cross-Site Scripting)與權限跨越漏洞，影響範圍包含國內多家企業。
影響系統：	教育訓練管理系統8、9版
解決辦法：	開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此教育訓練管理系統，建議儘快聯繫廠商進行修補更新到教育訓練管理系統 10版以上。
細節描述：	中華資安國際研究團隊獨家挖掘出國內某教育訓練管理系統具有多項漏洞，包括： 1.攻擊者可在不經過任何身分認證情況下，透過存取特定頁面進行攻擊，攻擊成功後可獲得系統所儲存的人員資料與帳號。 2.攻擊者可在不經過任何身分認證情況下 , 進行Cross-Site Scripting(XSS) 攻擊，攻擊成功後可竊取使用者Cookie等資訊。 3.攻擊者可在獲得一般使用者權限並且為登入的狀態下 , 透過存取特定頁面進行擊，攻擊成功後可將自己的權限提升為系統管理者。
參考資訊：	CVE-2020-10508 CVE-2020-10509 CVE-2020-10510 TWCERT/CC(TVN-201910008) TWCERT/CC(TVN-201910010) TWCERT/CC(TVN-201910011) CHT Security

風險等級：	高度威脅
摘要：	中華資安國際研究團隊獨家挖掘出國內某教育訓練管理系統具有多項漏洞，包括：具有敏感資訊洩漏、跨網站腳本攻擊(Cross-Site Scripting)與權限跨越漏洞，影響範圍包含國內多家企業。
影響系統：	教育訓練管理系統8、9版
解決辦法：	開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此教育訓練管理系統，建議儘快聯繫廠商進行修補更新到教育訓練管理系統 10版以上。
細節描述：	中華資安國際研究團隊獨家挖掘出國內某教育訓練管理系統具有多項漏洞，包括： 1.攻擊者可在不經過任何身分認證情況下，透過存取特定頁面進行攻擊，攻擊成功後可獲得系統所儲存的人員資料與帳號。 2.攻擊者可在不經過任何身分認證情況下 , 進行Cross-Site Scripting(XSS) 攻擊，攻擊成功後可竊取使用者Cookie等資訊。 3.攻擊者可在獲得一般使用者權限並且為登入的狀態下 , 透過存取特定頁面進行擊，攻擊成功後可將自己的權限提升為系統管理者。
參考資訊：	CVE-2020-10508 CVE-2020-10509 CVE-2020-10510 TWCERT/CC(TVN-201910008) TWCERT/CC(TVN-201910010) TWCERT/CC(TVN-201910011) CHT Security

發佈留言 取消回覆