漏洞分享 - 育碁數位科技 a+HRD 存在漏洞 (CVE-2022-39042、CVE-2022-39041、CVE-2022-39040 、CVE-2022-39039)

 



育碁數位科技存在a+HRD 存在漏洞 (CVE-2022-39042、CVE-2022-39041、CVE-2022-39040 、CVE-2022-39039)

一、摘要

        育碁數位科技 a+HRD存在Improper Authentication、SQL Injection、Path Traversal、Server-Side Request Forgery(SSRF)漏洞。


、存在風險

        Twcert日前公佈育碁數位科技 a+HRD存在多種漏洞,其漏洞如下:

    • Improper Authentication:攻擊者可不透過驗證進行登入,其利用漏洞繞過登入驗證存取API功能。

    • SQL Injection:特定API參數未對使用者輸入進行驗證,讓遠端攻擊者可以在沒有權限的情況下,任意注入SQL語法。

    • Path Traversal:該系統存在Path Traversal漏洞,讓遠端攻擊者可以在了解系統的情況下,下載系統檔案。

    • Server-Side Request Forgery(SSRF):特定URL參數未適當過濾,遠端攻擊者在沒有權限的情況下,可以透過漏洞任意發送HTTP(s)請求,進行SSRF攻擊。



        建議改善措施:聯繫育碁數位科技進行版本更新。
        
        情資報告連結:
    • https://www.twcert.org.tw/tw/cp-132-6795-f7fe6-1.html
    • https://www.twcert.org.tw/tw/cp-132-6794-35928-1.html
    • https://www.twcert.org.tw/tw/cp-132-6793-66aee-1.html
    • https://www.twcert.org.tw/tw/cp-132-6792-c4a62-1.html

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-->

資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->