Headline
CVE-2022-32457: 鼎新電腦 BPM - Blind Server-Side Request Forgery (SSRF)
Digiwin BPM has inadequate filtering for URL parameter. An unauthenticated remote attacker can perform Blind SSRF attack to discover internal network topology base on URL error response.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202206002
CVE ID
CVE-2022-32457
CVSS
5.3 (Medium)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
影響產品
鼎新電腦 BPM <= v5.8.6.1
問題描述
鼎新電腦BPM特定URL參數未作恰當的過濾,遠端攻擊者不須權限,可以進行Blind SSRF攻擊,透過回傳的錯誤訊息判斷目標網址狀態,藉以探測內網結構。
解決方法
Update version to 5.8.8.1
漏洞通報者
Xin-Yue, Song (CHT Security)
公開日期
2022-07-11