情資卡編號:TCCY-RCDC-ANA-202303-0016
事件主旨:瑞賦科技 IOT Wall 存在漏洞 (CVE-2023-25017、CVE-2023-25018)
內容說明:
瑞賦科技 IOT Wall 存在漏洞 (CVE-2023-25017、CVE-2023-25018),其漏洞說明如下:
CVE-2023-25017:
未適當進行權限控管,使遠端攻擊者以一般使用者權限登入後,即可利用此漏洞操作系統管理者權限才能執行之電商整合功能,對所有電商資料進行查看與修改。
CVE-2023-25018:
物流出貨功能未過濾URL參數之特殊字元,遠端攻擊者以一般使用者權限登入後,即可注入JavaScript語法進行攻擊,進行反射型XSS (Reflected Cross-site scripting)攻擊。
風險等級:1
建議措施:版更至IOTWall v.30