(108/7/5)中華資安國際發現CVE弱點，國內某公文編輯系統具有兩個重大風險，恐導致企業敏感資訊外洩

中華資安國際Red Team團隊發現CVE-2019-11232 及 CVE-2019-11233，指出國內知名公文編輯系統具有兩個敏感資訊洩漏的重大風險，可歸類在OWASP TOP 10 2017 A3-Sensitive Data Exposure 類型中，由於波及範圍廣泛，CVSS v3.0風險評分為9.8 Critical及7.5 High，簡述如下： 

• CVE-2019-11232：洩漏用戶在該系統中的密碼，且該密碼使用不安全的儲存方式，攻擊者相對易於破解加密的內容，進而獲取明文。
• CVE-2019-11233：洩漏如員工編號、員工信箱、部門資訊等內部機敏資訊。

攻擊者可在未登入的情況下，串聯以上兩項漏洞以直接取得使用者的帳號密碼，登入系統存取公文等機敏內容，或是在獲取員工的組織資訊後，透過社交工程或APT攻擊來竊取內部更機敏的資料。

目前開發廠商已釋出相關更新程式，若機關或企業有使用公文編輯系統者，建議儘快聯繫廠商進行修補更新。

中華資安國際建議採取以下防範措施：

1. 在開發過程中確保每個功能在執行前皆進行權限檢查，若權限不足則不允許存取。
2. 密碼的儲存應採取加鹽雜湊，即在欲保存的原始密碼加上長字串(salt)，再透過強度較高的雜湊演算法(例如SHA-256)多次運算後才存入資料庫。
3. 近幾年惡意程式數量與變化更是大幅增加，駭客手法也日新月異，企業可以經過系統化的資安檢測與專家經驗的輔助來降低風險指數，建議企業需定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保企業資訊安全的有效性。