跳到主要內容區塊
:::
:::

[資訊中心轉公告]【漏洞預警】eClass平台 存在 任意檔案下載 漏洞,請盡速確認並進行修補作業

eClass平台 存在 任意檔案下載(Arbitrary File Download 漏洞,可經由該漏洞取得後端系統中的任意資料(包含主機之敏感檔案),煩請各單位盡速確認是否使用此系統並進行修補作業

 

[影響平台:]

eClass平台

[建議措施:]

1. 確認貴單位是否使用此軟體,連絡廠商協助進行更新修補作業

 

2. 修補該程式漏洞,對輸入欄位進行惡意字元過濾作業

 

3. 在未修正此漏洞前,建議暫時先行移除此程式

 

4. 此漏洞起因於未能強制限定使用者下載目錄的位置,導致惡意使用能利用指向系統其它的目錄下載重要的檔案。建議修正程式,過濾target參數中的跨目錄字元(例如:..)並強制僅能在下載目錄中下載檔案

 

[參考資料:]

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組

網址:https://info.cert.tanet.edu.tw/

專線電話:07-5250211

網路電話:98400000

E-Mailservice@cert.tanet.edu.tw

 ---

電話服務:週一至週五 0800-1700 03-4227151# 57555, 57566

網路電話(VoIP)9782005597820066

週一至週五 1700-2200   03-4227151# 57511

Email 服務: tanet_ncu@ncu.edu.tw

桃園區網網址: http://web.tyrc.edu.tw

 

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼

最後更新日期

2019-12-10