Headline
CVE-2023-48392: 凱發科技 WebITR 差勤系統 - Hard-coded Cryptographic Key
Kaifa Technology WebITR is an online attendance system, it has a vulnerability in using hard-coded encryption key. An unauthenticated remote attacker can generate valid token parameter and exploit this vulnerability to access system with arbitrary user account, including administrator’s account, to execute login account’s permissions, and obtain relevant information.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202312019
CVE ID
CVE-2023-48392
CVSS
9.8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品
WebITR 差勤系統 2_1_0_23
問題描述
凱發科技 WebITR 差勤系統使用固定的加密金鑰,不具權限遠端攻擊者可以自行產生合法的 token 參數,並能以任意使用者身分登入該系統,取得系統內資料與執行相關流程。
解決方法
更新至最新版本
漏洞通報者
Cyku(DEVCORE)
公開日期
2023-12-15