Headline
CVE-2023-32754: 思考軟體科技 Efence - SQL injection
Thinking Software Efence login function has insufficient validation for user input. An unauthenticated remote attacker can exploit this vulnerability to inject arbitrary SQL commands to access, modify or delete database.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202306004
CVE ID
CVE-2023-32754
CVSS
9.8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品
思考軟體科技 Efence 1.2.59 DB.ver 36
問題描述
Efence之登入功能未對使用者輸入的參數進行驗證,遠端攻擊者不須權限,即可注入任意SQL語法讀取、修改及刪除資料庫。
解決方法
Update Efence version to 1.2.59 DB.ver 41
漏洞通報者
潘予德、何雨蓁 (華電聯網)
公開日期
2023-06-16