美國國家弱點資料庫(National Vulnerability Database) 今(2024/7/15)公佈,在AguardNet科技有限公司的空間管理系統中發現資安漏洞,此漏洞被命名為CVE-2024-6742。此資安漏洞歸類為跨站程式攻擊(Cross-site scripting,XSS)的CWE-79,是2023 年已知被利用最多的十大CWE漏洞排名之一。
AguardNet全識科技的空間管理系統功能完善,具備節能、智慧、自動化、遠距門禁管理、設備聯動、自動計費等特色。NVD揭露AguardNet科技公司的空間管理系統未能正確過濾使用者輸入,允許具有一般性權限的遠端攻擊者註入JavaScript並執行跨站腳本反射攻擊。一旦注入惡意script,攻擊者就可以執行各種惡意活動。攻擊者可以將私人資訊,例如可能包含會話資訊 (session information) 的 cookie,從受害者的電腦傳輸給攻擊者。攻擊者可以代表受害者向網站發送惡意請求,如果受害者俱有管理該網站的管理員權限,這對網站尤其危險。網路釣魚攻擊可用於模擬受信任的網站並誘騙受害者輸入密碼,從而使攻擊者能夠破壞受害者在該網站上的帳戶。最後,該script可能會利用網路瀏覽器本身的漏洞,可能接管受害者的電腦。
參考來源:https://nvd.nist.gov/vuln/detail/CVE-2024-6742
風險影響分析:
圖檔來源: https://feedly.com/cve/CVE-2024-6742
建議措施:建議對受到影響的組件升級到最新版。
歡迎推薦訂閱,訂閱網址:https://www.surveycake.com/s/AwNMO