本週臺灣電腦網路危機處理暨協調中心(TWCERT/CC)發布資安公告,指出互動資通旗下的企業協作平臺Team+存在3項漏洞CVE-2024-9921、CVE-2024-9922、CVE-2024-9923,影響13.5.x版Team+,呼籲使用者要升級至14.0.0版緩解相關資安風險。
根據CVSS風險評分,最嚴重的是SQL注入漏洞CVE-2024-9921,起因是此協作平臺尚未妥善驗證特定網頁參數,導致未經身分驗證的攻擊者有機會遠端注入任意SQL指令,從而讀取、修改、刪除資料庫內容,CVSS風險評為9.8分。
其餘2個漏洞CVE-2024-9922、CVE-2024-9923,皆為路徑穿越漏洞,當中危險程度較高的是CVE-2024-9922,攻擊者可在未通過身分驗證的情況下,用來讀取任意檔案,CVSS風險評為7.5;另一個漏洞CVE-2024-9923,則能用來搬移檔案,攻擊者必須事先得到管理員權限,才能遠端將任意檔案移動到網站根目錄並進行存取,CVSS評分為4.9。
我們也向互動資通進行確認,該公司表示在發現後已儘速完成修復,並於2個月前提供新版程式給客戶使用。
熱門新聞
2024-10-14
2024-10-13
2024-10-14
2024-10-14
2024-10-13
2024-10-14
Advertisement