2024-06-25 02:33
中華資安國際Red Team團隊發現,國內某郵件歸檔稽核系統平台具有兩項風險漏洞
【風險等級】
High
【影響範圍】
CVE-2024-4298
4.5: < 4.5-188
5.5: < 5.5-188
CVE-2024-4299
4.5: < 4.5-147
5.5: < 5.5-147
【描述】
中華資安國際Red Team團隊發現,國內某郵件歸檔稽核系統平台具有兩項風險漏洞(CVE-2024-4298、CVE-2024-4299),為Command injection弱點,影響範圍遍及國內機關、企業。
CVE-2024-4298:遠端攻擊者取得權限後,即能執行任意系統指令。
CVE-2024-4299:遠端攻擊者取得權限後,即能執行任意系統指令。
中華資安國際建議採取以下防範措施:
使用者:聯繫廠商盡速安裝修補更新檔。
系統開發商:在程式開發過程中應針對輸入參數做檢查。
系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。