(108/8/6)發現CVE弱點,某數位學習平台具有重大風險,可導致遠端指令注入

中華資安國際Red Team團隊發現,國內知名數位學習平台具有系統指令注入的重大風險(CVE-2019-11062),由於影響範圍包含政府、教育與金融等至少約50個機構,且不需要登入即可遠端執行指令,CVSS v3.0風險評分為9.8 Critical,簡述如下: 


CVE-2019-11062:具有系統指令注入漏洞,攻擊者可在不經過任何身分認證情況下,在注入頁面的basePath參數放入任意系統指令,且參數檢查機制可遭到繞過。一旦攻擊成功,攻擊者將可取得受害主機控制權,或上傳網頁木馬(Webshell)取得主機管理者帳密、資料庫帳密等資訊。


開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用數位學習平台者,建議儘快聯繫廠商進行修補更新。



若無法立刻更新,建議採取以下減緩措施與檢查:

1. 關閉/teach/course/doajaxfileupload.php 連線路徑,使其無法進行作業。

2. 開啟WAF設備檢查 basePath欄位,阻擋任何OS指令(包括編碼之後的版本)。

3. 檢查是否有其他新建立的檔案(未知檔案)已被上傳成功,如發現檔案應立即進行事件處理。

4. 網路連線設備單一session 連線至/teach/course/doajaxfileupload.php 頁面而未有認證session id之紀錄,應立即進行封鎖或阻斷連線。

5. 在程式開發過程中應確保每個功能在執行前皆進行權限檢查,若權限不足則不允許存取。

6. 程式開發人員應運用白名單或正規表示式進行參數檢查,以避免遭到惡意語法注入,建議開發廠商導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測滲透測試等安全檢測,才能有效地確保產品及用戶安全。