Headline
CVE-2023-48376: 慶捷星 CWS 協同開發平台 - Arbitrary File Upload
SmartStar Software CWS is a web-based integration platform, its file uploading function does not restrict upload of file with dangerous type. An unauthenticated remote attacker can exploit this vulnerability to upload arbitrary files to perform arbitrary command or disrupt service.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202312006
CVE ID
CVE-2023-48376
CVSS
9.8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品
CWS 協同開發平台 v10.25
問題描述
慶捷星資訊 CWS 協同開發平台的檔案上傳功能未對上傳檔案做檢查限制,不須登入的遠端攻擊者可以上傳任意檔案,進而執行任意程式碼或中斷系統服務。
解決方法
更新至最新版本
漏洞通報者
Kun Xian Lin(DEVCORE)
公開日期
2023-12-15