【漏洞預警】全景軟體CGFIDO 存在二個高風險資安漏洞
2024 年 12 月 31 日
cc
教育機構ANA通報平台
| 發佈編號 | TACERT-ANA-2024123101123535 | 發佈時間 | 2024-12-31 13:12:35 |
| 事故類型 | ANA-漏洞預警 | 發現時間 | 2024-12-31 13:12:35 |
| 影響等級 | 中 | ||
| [主旨說明:]【漏洞預警】全景軟體CGFIDO 存在二個高風險資安漏洞 | |||
| [內容說明:]
轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202412-00000003 【全景軟體CGFIDO – Authentication Bypass】(TVN-202412008,CVE-2024-12838,CVSS:8.8) 全景軟體CGFIDO之無密碼登入機制存在Authentication Bypass漏洞,已取得一般權限之遠端攻擊者可發送特製請求變更為任意使用者,包含管理員。 ● 影響產品:CGFIDO 0.0.1 至 1.1.0版本 ● 建議措施:更新至1.2.0(含)以後版本 【全景軟體CGFIDO – Authentication Bypass】(TVN-202412009,CVE-2024-12839,CVSS:8.8) 全景軟體CGFIDO之設備驗證登入機制存在Authentication Bypass by Capture-replay漏洞,若使用者存取偽造網站,其設備部署的agent程式便會發送驗證簽章至該網站,未經身分鑑別之遠端攻擊者在取得此簽章後便可使用任意設備登入系統。 ● 影響產品:CGFIDO 1.2.1(含)以前版本 ● 建議措施:更新至1.2.2(含)以後版本 情資分享等級: WHITE(情資內容為可公開揭露之資訊) 煩請貴單位協助公告或轉發 |
|||
| [影響平台:]
● CGFIDO 0.0.1 至 1.1.0版本● CGFIDO 1.2.1(含)以前版本 |
|||
| [建議措施:]
根據情資內容,更新至對應版本 |
|||
| [參考資料:] 1. 全景軟體CGFIDO – Authentication Bypass:https://www.twcert.org.tw/tw/cp-132-8332-2100f-1.html 2. 全景軟體 CGFIDO – Authentication Bypass:https://www.twcert.org.tw/tw/cp-132-8334-8b836-1.html |
|||