Headline
CVE-2022-39055: 全景軟體 RAVA憑證驗證系統網站 - Server-Side Request Forgery (SSRF)
RAVA certificate validation system has inadequate filtering for URL parameter. An unauthenticated remote attacker can perform SSRF attack to discover internal network topology base on query response.
:::
- 首頁
- 資安服務
- 台灣漏洞揭露平台 (TVN)
- TVN (Taiwan Vulnerability Note) 漏洞公告
TVN ID
TVN-202209011
CVE ID
CVE-2022-39055
CVSS
5.3 (Medium)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
影響產品
全景軟體 RAVA憑證驗證系統網站 v3
問題描述
RAVA憑證驗證系統網站特定URL參數未作恰當的過濾,遠端攻擊者不須權限,即可進行SSRF攻擊,透過回傳的錯誤訊息判斷目標網址狀態,藉以探測內網狀態。
解決方法
請與全景軟體聯繫提供修補方案
漏洞通報者
Jay Wu吳瑋杰 (Acer Cyber Security Inc., ACSI)
公開日期
2022-10-18