繁體中文 | English | 日本語

2023-07-26 18:41

中華資安國際發現CVE弱點，國外某開源畫廊平台具有一項漏洞

中華資安國際SOC團隊發現，國外某開源畫廊平台具有一項漏洞(CVE-2023-37152)，主因是未限制文件上傳格式，導致任意程式碼執行的問題。

【風險等級】Critical

【影響範圍】1.0的版本

【細節描述】

CVE-2023-37152：攻擊者在擁有管理者權限的情況下，可以在主頁面下的HOME中有個Slider Content項目，允許攻擊者任意上傳惡意的檔案，達到遠端程式碼執行，此漏洞可歸類於OWASP TOP 10 2021之A03 –Injection類型中。

若機關或企業有使用此平台系統，建議儘快聯繫廠商進行修補更新。

中華資安國際建議採取以下防範措施：

使用者：儘速將相關程式碼搬移至仍在維護的專案。
系統開發商：在程式開發過程中應限制使用者可以上傳的文件/圖片格式。
系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。

【參考資訊】

NIST(CVE-2023-37152)

近期消息

中華電信攜手子公司中華資安國際參與CYBERSEC臺灣資安大會展現資安防護力鞏固數位韌性

中華資安國際榮獲 2024 Cybersecurity Excellence Awards「最佳資安公司獎項」

2024/5/14~16 CYBERSEC 2024 臺灣資安大會登場，中華資安國際將於現場展示多項資安解決方案以及資安講堂，歡迎有興趣的賓客蒞臨參與。

[臺捷友好] 中華資安國際協助臺灣捷克高中資安教育交流會

中華資安國際三月下旬於台北國際工具機展展出工控資安解決方案

中華資安國際獲頒CIO IT經理人 2024 傑出資安產品與服務獎

中華資安國際協辦軟協公部門資安地端與雲端安全對策研討會(台北、台中、高雄場)

中華資安國際榮獲 CIO Taiwan 2024「資安產品與服務獎」

2024 Cyber Security Review 亞太區最佳滲透測試服務商

中華資安國際連續五年資安廠商評鑑五A最高評價