漏洞分享 - 沛盛資訊 OMICARD EDM行銷發送系統存在多個漏洞
沛盛資訊 OMICARD EDM行銷發送系統存在多個漏洞
一、摘要
沛盛資訊 OMICARD EDM行銷發送系統存在SQL Injection、Arbitrary File Upload和Path Traversal這三種漏洞,該漏洞遭到利用後,允許攻擊者注入任意SQL語法讀取、修改、刪除資料庫、執行任意程式碼、中斷系統服務或讀取任意檔案。
二、存在風險
沛盛資訊 OMICARD EDM行銷發送系統存在SQL Injection、Arbitrary File Upload和Path Traversal這三種漏洞,該漏洞遭到利用後,允許攻擊者注入任意SQL語法讀取、修改、刪除資料庫、執行任意程式碼、中斷系統服務或讀取任意檔案,其影響系統或版本如下:
- 漏洞說明:
- SQL Injection 漏洞:SMS相關功能存在SQL Injection 漏洞,遠端攻擊者不須權限,即可注入任意SQL語法讀取、修改及刪除資料庫。
- Arbitrary File Upload漏洞:上傳功能未對上傳檔案進行檢查限制,導致遠端攻擊者可在不需要權限情況下,即可以上傳任意檔案,進而執行任意程式碼或中斷系統服務。
- Path Traversal漏洞:特定頁面存在Path Traversal漏洞,未經驗證之遠端攻擊者可利用此漏洞繞過身分認證機制,讀取任意系統檔案。
- 影響版本:OMICARD EDM行銷發送系統 v6.0.1.5
建議改善措施:請更新版本至v6.0.1.31。
情資報告連結: