漏洞分享 - 驊鉅數位 Easy Test 存在Arbitrary File Upload、SQL Injection、Incorrect Authorization漏洞(CVE-2022-43436、CVE-2022-43437、CVE-2022-43438)

   



驊鉅數位 Easy Test 存在Arbitrary File Upload、SQL Injection、Incorrect Authorization漏洞
(CVE-2022-43436、CVE-2022-43437、CVE-2022-43438)

一、摘要

        驊鉅數位 Easy Test 存在Arbitrary File Upload、SQL Injection、Incorrect Authorization漏洞。


、存在風險

        Twcert日前公佈驊鉅數位 Easy Test 存在多種漏洞,其漏洞如下:

  • Arbitrary File Upload:驊鉅數位 Easy Test 檔案上傳功能未過濾特殊字元與驗證檔案類型,遠端攻擊者以一般使用者權限登入後,可上傳並執行任意類型的檔案,對系統進行任意操作或中斷服務。

  • SQL Injection:驊鉅數位 Easy Test 下載功能參數未對使用者輸入進行驗證,遠端攻擊者以一般使用者權限登入後,即可注入任意SQL語法讀取、修改、及刪除資料庫
  • Incorrect Authorization:驊鉅數位 Easy Test管理員功能含有Incorrect Authorization漏洞,遠端攻擊者以一般使用者權限登入後,即可透過該漏洞繞過權限驗證存取API功能,任意操作系統並終止服務


        建議改善措施:更新Easy Test版本至v.22126。
        
        情資報告連結:
  • https://www.twcert.org.tw/tw/cp-132-6828-1e5e4-1.html
  • https://www.twcert.org.tw/tw/cp-132-6829-11133-1.html
  • https://www.twcert.org.tw/tw/cp-132-6830-28746-1.html

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-->

資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->

漏洞分享 - Fortinet 產品存在多個漏洞

-->