中華資安國際Red Team團隊發現,國內某郵件歸檔稽核系統平台具有兩項風險漏洞

【風險等級】 

High

【影響範圍】 

CVE-2024-4298

4.5: < 4.5-188

5.5: < 5.5-188


CVE-2024-4299

4.5: < 4.5-147

5.5: < 5.5-147

【描述】 

中華資安國際Red Team團隊發現,國內某郵件歸檔稽核系統平台具有兩項風險漏洞(CVE-2024-4298、CVE-2024-4299),為Command injection弱點,影響範圍遍及國內機關、企業。


CVE-2024-4298:遠端攻擊者取得權限後,即能執行任意系統指令。

CVE-2024-4299:遠端攻擊者取得權限後,即能執行任意系統指令。


中華資安國際建議採取以下防範措施:

使用者:聯繫廠商盡速安裝修補更新檔。

系統開發商:在程式開發過程中應針對輸入參數做檢查。

系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。