金門縣金城鎮公所金門縣金城鎮公所

發布編號

NICS-ANA-2024-0000131

發布時間

Tue Mar 19 11:44:22 CST 2024

事件類型

漏洞預警

發現時間

Wed Mar 13 00:00:00 CST 2024

警訊名稱

凱發科技WebITR差勤系統存在多個高風險安全漏洞(CVE-2023-48392至CVE-2023-48395)，請儘速確認並進行修補

內容說明

CVE-2023-48392：WebITR差勤系統使用固定加密金鑰，遠端攻擊者可以自行產生合法Token參數，即可以任意使用者身分登入該系統，取得系統內資料與執行相關流程。

CVE-2023-48394：WebITR差勤系統之上傳功能未對上傳檔案進行檢查，並可上傳檔案至任意位置。遠端攻擊者透過一般使用者權限帳號登入系統後，即可上傳任意檔案，進而執行任意程式碼或中斷系統服務。

影響平台

WebITR差勤系統2_1_0_19(含)以下版本

影響等級

高

建議措施

官方已針對漏洞釋出修復更新，請更新至以下版本：

WebITR差勤系統2_1_0_23(含)以上版本

參考資料

1.https://www.twcert.org.tw/tw/cp-132-7622-57e5f-1.html

2.https://www.twcert.org.tw/tw/cp-132-7623-5660d-1.html

3.https://www.twcert.org.tw/tw/cp-132-7624-d0300-1.html

4.https://www.twcert.org.tw/tw/cp-132-7625-a0b9c-1.html

5.https://nvd.nist.gov/vuln/detail/CVE-2023-48392

6.https://nvd.nist.gov/vuln/detail/CVE-2023-48393

7.https://nvd.nist.gov/vuln/detail/CVE-2023-48394

8.https://nvd.nist.gov/vuln/detail/CVE-2023-48395

此類通告發送對象為通報應變網站登記之資安人員。若貴 單位之資安人員有變更，可逕自登入通報應變網站（https://www.ncert.nat.gov.tw）進行修改。若您仍為貴單位之資安人員但非本事件之處理人員，請協助將此通告告知相關處理人員。