漏洞分享 - 育碁數位科技 a+HRD 存在漏洞 (CVE-2022-39042、CVE-2022-39041、CVE-2022-39040 、CVE-2022-39039)
育碁數位科技存在a+HRD 存在漏洞 (CVE-2022-39042、CVE-2022-39041、CVE-2022-39040 、CVE-2022-39039)
一、摘要
育碁數位科技 a+HRD存在Improper Authentication、SQL Injection、Path Traversal、Server-Side Request Forgery(SSRF)漏洞。
二、存在風險
Twcert日前公佈育碁數位科技 a+HRD存在多種漏洞,其漏洞如下:
- Improper Authentication:攻擊者可不透過驗證進行登入,其利用漏洞繞過登入驗證存取API功能。
- SQL Injection:特定API參數未對使用者輸入進行驗證,讓遠端攻擊者可以在沒有權限的情況下,任意注入SQL語法。
- Path Traversal:該系統存在Path Traversal漏洞,讓遠端攻擊者可以在了解系統的情況下,下載系統檔案。
- Server-Side Request Forgery(SSRF):特定URL參數未適當過濾,遠端攻擊者在沒有權限的情況下,可以透過漏洞任意發送HTTP(s)請求,進行SSRF攻擊。
建議改善措施:聯繫育碁數位科技進行版本更新。
情資報告連結:
- https://www.twcert.org.tw/tw/cp-132-6795-f7fe6-1.html
- https://www.twcert.org.tw/tw/cp-132-6794-35928-1.html
- https://www.twcert.org.tw/tw/cp-132-6793-66aee-1.html
- https://www.twcert.org.tw/tw/cp-132-6792-c4a62-1.html