Headline
CVE-2023-37291: 叡揚資訊 Vitals ESP - Use of Hard-coded Cryptographic Key
Galaxy Software Services Vitals ESP is vulnerable to using a hard-coded encryption key. An unauthenticated remote attacker can generate a valid token parameter and exploit this vulnerability to access system to operate processes and access data.
This issue affects Vitals ESP: from 3.0.8 through 6.2.0.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202307009
CVE ID
CVE-2023-37291
CVSS
8.6 (High)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
影響產品
Vitals ESP 版本: 3.0.8 ~ 6.2.0
問題描述
叡揚資訊 Vitals ESP使用固定的加密金鑰,遠端攻擊者可以自行產生合法的 token 參數,並能以任意使用者身分登入該系統,取得系統內資料與執行相關流程。
解決方法
請聯繫叡揚資訊 詢問相關修補建議
漏洞通報者
Cyku (DEVCORE)
公開日期
2023-07-17