國立中正大學物品管理系統存在平行越權任意刪除他人物品管理資料及無須登入遍歷他人物品管理資料

Vulnerability Overview

ZDID: ZD-2017-01311
發信 Vendor: 國立中正大學物品管理系統
Title: 國立中正大學物品管理系統存在平行越權任意刪除他人物品管理資料及無須登入遍歷他人物品管理資料
Introduction: 平行越權及資訊洩漏

處理狀態

目前狀態

公開

Last Update : 2018/01/19

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2017/12/26 01:59:45 : 新提交 (由 taroballz 更新此狀態)
2017/12/26 02:01:01 : 新提交 (由 taroballz 更新此狀態)
2017/12/26 02:03:27 : 新提交 (由 taroballz 更新此狀態)
2017/12/26 02:04:04 : 新提交 (由 taroballz 更新此狀態)
2017/12/26 21:12:36 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/12/31 00:08:57 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2017/12/31 00:08:57 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/01/05 10:00:59 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/01/10 18:05:53 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/01/15 11:33:22 : 確認已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/01/19 03:00:09 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2017-01311
通報者：curtis992250 (taroballz)
風險：中
類型：權限提升 (Privilege Escalation)

參考資料

攻擊者可利用此漏洞提升帳號權限，如其他使用者甚至管理者權限。

漏洞說明： OWASP - Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

漏洞說明： OWASP - Testing for Privilege escalation (OTG-AUTHZ-003)
https://www.owasp.org/index.php/Testing_for_Privilege_escalation_(OTG-AUTHZ-003)

漏洞說明： CWE - Privilege
https://cwe.mitre.org/data/definitions/901.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)