Headline
CVE-2022-41675: 村榮資訊 雷電MAILD Mail Server -- Formula Injection
A remote attacker with general user privilege can inject malicious code in the form content of Raiden MAILD Mail Server website. Other users export form content as CSV file can trigger arbitrary code execution and allow the attacker to perform arbitrary system operation or disrupt service on the user side.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202211001
CVE ID
CVE-2022-41675
CVSS
8.0 (High)
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
影響產品
村榮資訊 雷電MAILD Mail Server v4.7
問題描述
雷電MAILD Mail Server網站的表單匯出功能未檢查所匯出的CSV檔案內容,遠端攻擊者以一般使用者權限登入後,可以將惡意程式注入到表單中,當其他使用者下載表單時,會取得惡意的CSV檔案,觸發任意程式碼執行,並對系統進行任意操作或中斷服務。
解決方法
更新版本至v4.7.4以上
漏洞通報者
Mason Yang (Acer Cyber Security Inc., ACSI)
公開日期
2022-11-29