[IDExpert/MOTP更新公告]漏洞修補說明
2024-06-21
IDExpert身分認證系統
● 因應方式:升級到IDExpert 2.8.0.240521以上版本。
● 應對漏洞:
1. Arbitrary File Read / CVE編號CVE-2024-10651、 TWCert編號TVN-202410024
- 風險等級:中,CVSS 4.9。
- 漏洞說明:攻擊者若取得IDExpert管理者帳號權限,登入管理頁面後,可能下載其他路徑檔。
- 影響版本: IDExpert 2.8以下版本。
2. 跨站腳本攻擊(Cross Site Scripting, XSS) / CVE編號 CVE-2024-10652、TWCert編號TVN-202410025
- 風險等級:中,CVSS 6.1。
- 漏洞說明:攻擊者誘騙IDExpert管理員點擊惡意連結,可能觸發Reflected Cross-site Scripting攻擊。
- 影響版本:IDExpert 2.8以下版本。
MOTP行動動態密碼系統
● 因應方式:升級到MOTP v3.11.3.240111以上或聯絡本公司進行局部漏洞修補。
● 應對漏洞:
1. Arbitrary File Upload/編號CVE-2024-3123
- 風險等級:高,CVSS 7.2。
- 漏洞說明:攻擊者若取得MOTP管理者帳號權限,登入管理頁面後,可能上傳惡意檔案。
- 影響版本:MOTP 3.11 ~ 3.11.3.231015版本。
2. Arbitrary File Reading/編號CVE-2024-3122
- 風險等級:中,CVSS 4.9。
- 漏洞說明:攻擊者若取得MOTP管理者帳號權限,登入管理頁面後,可能下載其他路徑檔案。
- 影響版本:MOTP 3.11.3.231015以下版本。
Linux VM:修復版本於7月1日發布
● 因應方式:升級到下列版本以上,或直接在OS中進行Patch修復。
- IDExpert 2.8.1
- MOTP 3.11.5
● 應對漏洞:Linux Kernel 漏洞 / 編號CVE-2024-1086。
請聯繫全景各案服務人員或由客服窗口安排人員處理
客服窗口:
03-563-0688 #254
help@changingtec.com