2023-07-26 18:41
中華資安國際發現CVE弱點,國外某開源畫廊平台具有一項漏洞
中華資安國際SOC團隊發現,國外某開源畫廊平台具有一項漏洞(CVE-2023-37152),主因是未限制文件上傳格式,導致任意程式碼執行的問題。
【風險等級】Critical
【影響範圍】1.0的版本
【細節描述】
- CVE-2023-37152:攻擊者在擁有管理者權限的情況下,可以在主頁面下的HOME中有個Slider Content項目,允許攻擊者任意上傳惡意的檔案,達到遠端程式碼執行,此漏洞可歸類於OWASP TOP 10 2021之A03 –Injection類型中。
若機關或企業有使用此平台系統,建議儘快聯繫廠商進行修補更新。
中華資安國際建議採取以下防範措施:
- 使用者:儘速將相關程式碼搬移至仍在維護的專案。
- 系統開發商:在程式開發過程中應限制使用者可以上傳的文件/圖片格式。
- 系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。
【參考資訊】