Headline
CVE-2023-38028: Saho商合行 ADM100&ADM-100FP - Broken Access Control
Saho’s attendance devices ADM100 and ADM-100FP have insufficient authentication. An unauthenticated remote attacker can exploit this vulnerability to bypass authentication to read system information and operate user’s data, but can’t control system or disrupt service.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202308008
CVE ID
CVE-2023-38028
CVSS
9.1 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
影響產品
ADM-100: 0.0.4.0, 0.0.4.3, 0.0.4.6, 0.0.4.8, Q20100602, T17041702, T18051803, T190
ADM-100FP: Q20100602, T17041702, T18051803, T190
問題描述
Saho商合行ADM100與ADM-100FP存在broken access control 漏洞,未經身分驗證之遠端攻擊者可透過修改網址列路徑。繞過身分驗證,存取系統網站頁面,並可能導致機敏資訊外洩。
解決方法
請聯繫商合行詢問相關修補建議
漏洞通報者
Li-Fan Cheng, Chih-Che Chang, AnWei Kung (國家資通安全研究院)
公開日期
2023-08-25