Headline
CVE-2023-41356: 台灣智園 Tronclass ilearn - Broken Access Control
NCSIST ManageEngine Mobile Device Manager(MDM) APP’s special function has a path traversal vulnerability. An unauthenticated remote attacker can exploit this vulnerability to bypass authentication and read arbitrary system files.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202311012
CVE ID
CVE-2023-41356
CVSS
6.5 (Medium)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
影響產品
Tronclass ilearn: 1.62.41849-hotfix-v1-62-84ccf1a5
問題描述
台灣智園 Tronclass ilearn 的上傳檔案功能未進行適當的權限控管,遠端攻擊者以一般使用者權限登入後,變更URL中的檔案ID,即可查看其他使用者上傳之檔案。
解決方法
更新至最新版本
漏洞通報者
TU
公開日期
2023-11-03