Headline
CVE-2023-48371: 沛盛資訊 OMICARD EDM行銷發送系統 - Arbitrary File Upload
ITPison OMICARD EDM’s file uploading function does not restrict upload of file with dangerous type. An unauthenticated remote attacker can exploit this vulnerability to upload and run arbitrary executable files to perform arbitrary system commands or disrupt service.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202312001
CVE ID
CVE-2023-48371
CVSS
9.8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品
OMICARD EDM行銷發送系統 v6.0.1.5
問題描述
沛盛資訊 OMICARD EDM 行銷發送系統之上傳功能未對上傳檔案進行檢查限制,導致遠端攻擊者不須登入,即可以上傳任意檔案,進而執行任意程式碼或中斷系統服務。
解決方法
更新版本至v5.9之後之版本
漏洞通報者
Vtim(DEVCORE)
公開日期
2023-12-15