中華資安國際發現CVE弱點,國際知名開源專案具有一項漏洞

風險等級: 高度威脅
摘要: 事件通告:中華資安國際發現CVE弱點,國際知名開源專案具有一項漏洞
影響系統:
  • 開源專案2.2及最新的版本
解決辦法: 中華資安國際建議採取以下防範措施:
(1)使用者:儘速將相關程式碼搬移至仍在維護的專案。
(2)系統開發商:在程式開發過程中應針對輸入參數做檢查。
(3)系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。
細節描述: 1.CVE-2022-40705:
攻擊者在未登入情況下,可透過特定封包來達到目錄列舉及檔案讀取,此漏洞可歸類於OWASP TOP 10 2021之A03 –Injection類型中。
由於此開源專案已不再維護,若機關或企業有使用此開源專案,建議儘快搬移至其它仍有在維護的專案如Apache CXF
(https://cxf.apache.org) 或Apache Axis (https://axis.apache.org)。

開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此控制項套件,建議儘快聯繫廠商進行修補更新。

參考資訊: CHTSecurity
NIST(CVE-2022-40705)
Apache CXF
Apache Axis