中華資安國際發現CVE弱點,國內某教育訓練管理系統具有多項漏洞

系統具有多項漏洞(CVE-2020-10508、CVE-2020-10509、CVE-2020-10510),指出此系統具有敏感資訊洩漏、跨網站腳本攻擊(Cross-Site Scripting)與權限跨越漏洞,影響範圍包含國內多家企業。


【風險等級】高度威脅

【影響範圍】教育訓練管理系統8、9版

【細節描述】

  1. CVE-2020-10508:系統資訊未恰當保護,攻擊者可以輸入指定的URL,取得此系統中的資訊,此漏洞可歸類於OWASP TOP 10 2017之A3 - Sensitive Data Exposure類型中。
  2. CVE-2020-10509:教育訓練管理系統存在跨站腳本攻擊的漏洞,攻擊者可以利用此漏洞執行惡意腳本,此漏洞可歸類於OWASP TOP 10 2017之A7 - Cross-Site Scripting(XSS)類型中。
  3. CVE-2020-10510:教育訓練管理系統未恰當設定存取控制,攻擊者登入系統後,可透過特定網址執行未經授權的功能,此漏洞可歸類於OWASP TOP 10 2017之A5 – Broken Access Control類型中。

開發廠商接獲通報後已配合儘速釋出相關更新,若機關或企業有使用此教育訓練管理系統,建議儘快聯繫廠商進行修補更新。

中華資安國際建議採取以下防範措施:

  1. 使用者:聯繫廠商盡速安裝修補更新檔。
  2. 系統開發商:在程式開發過程中應針對輸入參數做檢查。
  3. 系統開發商:建議導入安全程式開發流程 (SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。

【參考資訊】

NIST(CVE-2020-10508) (2020/02/17)

NIST(CVE-2020-10509) (2020/02/17)

NIST(CVE-2020-10510) (2020/02/17)

TWCERT/CC(TVN-201910008) (2020/01/31)

TWCERT/CC(TVN-201910010) (2020/01/31)

TWCERT/CC(TVN-201910011) (2020/01/31)