Headline
CVE-2022-40742: 中華數位科技 Mail SQR Expert 全方位電子郵件管理專家 - Local File Inclusion
Mail SQR Expert system has a Local File Inclusion vulnerability. An unauthenticated remote attacker can exploit this vulnerability to execute arbitrary PHP file with .asp file extension under specific system paths, to access and modify partial system information but does not affect service availability.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202210009
CVE ID
CVE-2022-40742
CVSS
6.5 (Medium)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
影響產品
中華數位科技 Mail SQR Expert 全方位電子郵件管理專家 version 2dut.190301
問題描述
Mail SQR Expert特定URL之參數存在 Local File Inclusion 漏洞,遠端攻擊者不須權限,可利用此漏洞引用部分系統目錄下的檔案,即可取得與修改部分系統資訊,但不會影響服務。
解決方法
Update 中華數位科技 Mail SQR Expert version to 2dut.220701 (此版號更新不包含運行在 FreeBSD 9.x的設備)
漏洞通報者
Cyku Hong (DEVCORE)
公開日期
2022-10-26