2019-07-05 10:03
(108/7/5)中華資安國際發現CVE弱點,國內某公文編輯系統具有兩個重大風險,恐導致企業敏感資訊外洩
中華資安國際Red Team團隊發現CVE-2019-11232 及 CVE-2019-11233,指出國內知名公文編輯系統具有兩個敏感資訊洩漏的重大風險,可歸類在OWASP TOP 10 2017 A3-Sensitive Data Exposure 類型中,由於波及範圍廣泛,CVSS v3.0風險評分為9.8 Critical及7.5 High,簡述如下:
- CVE-2019-11232:洩漏用戶在該系統中的密碼,且該密碼使用不安全的儲存方式,攻擊者相對易於破解加密的內容,進而獲取明文。
- CVE-2019-11233:洩漏如員工編號、員工信箱、部門資訊等內部機敏資訊。
攻擊者可在未登入的情況下,串聯以上兩項漏洞以直接取得使用者的帳號密碼,登入系統存取公文等機敏內容,或是在獲取員工的組織資訊後,透過社交工程或APT攻擊來竊取內部更機敏的資料。
目前開發廠商已釋出相關更新程式,若機關或企業有使用公文編輯系統者,建議儘快聯繫廠商進行修補更新。
中華資安國際建議採取以下防範措施: