本周台湾电脑网络危机处理暨协调中心(TWCERT/CC)发布资安公告,指出交互资通旗下的企业协作平台Team+存在3项漏洞CVE-2024-9921、CVE-2024-9922、CVE-2024-9923,影响13.5.x版Team+,呼吁用户要升级至14.0.0版缓解相关资安风险。
根据CVSS风险评分,最严重的是SQL注入漏洞CVE-2024-9921,起因是此协作平台尚未妥善验证特定网页参数,导致未经身分验证的攻击者有机会远程注入任意SQL指令,从而读取、修改、删除数据库内容,CVSS风险评为9.8分。
其余2个漏洞CVE-2024-9922、CVE-2024-9923,皆为路径穿越漏洞,当中危险程度较高的是CVE-2024-9922,攻击者可在未通过身分验证的情况下,用来读取任意文件,CVSS风险评为7.5;另一个漏洞CVE-2024-9923,则能用来搬移文件,攻击者必须事先得到管理员权限,才能远程将任意文件移动到网站根目录并进行存取,CVSS评分为4.9。
我们也向交互资通进行确认,该公司表示在发现后已尽速完成修复,并于2个月前提供新版程序给客户使用。



2024-10-16
