漏洞分享 - 英福達科技的電子公文系統存在Server-Side Request Forgery (SSRF)漏洞
英福達科技的電子公文系統存在Server-Side Request Forgery (SSRF)漏洞
一、摘要
英福達科技之電子公文系統中的HTML 轉換 PDF 功能未對可用之 Tag 做限制,導致攻擊者可透過 iframe 等 HTML 標籤載入遠端或本地資源進行 Server-Side Request Forgery (SSRF) 攻擊,讓攻擊者可讀取系統檔案、列舉系統目錄、查詢內網資訊。
二、存在風險
英福達科技之電子公文系統中的HTML 轉換 PDF 功能未對可用之 Tag 做限制,導致攻擊者可透過 iframe 等 HTML 標籤載入遠端或本地資源進行 Server-Side Request Forgery (SSRF) 攻擊,讓攻擊者可讀取系統檔案、列舉系統目錄、查詢內網資訊,其影響系統或版本資訊如下:
- 電子公文系統版本 22547、22567
建議改善措施:請維護廠商協助更新或提出解決方案。