國立高雄科技大學企業管理系印表機權限控管與資訊洩漏漏洞

Vulnerability Overview

ZDID: ZD-2025-00739
發信 Vendor: 國立高雄科技大學企業管理系
Title: 國立高雄科技大學企業管理系印表機權限控管與資訊洩漏漏洞
Introduction: 印表機驗證方式過於寬鬆，導致個資洩漏。

處理狀態

目前狀態

公開

Last Update : 2025/08/26

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2025/07/17 19:32:38 : 新提交 (由 Ren 更新此狀態)
2025/07/18 11:27:25 : 新提交 (由 Ren 更新此狀態)
2025/07/18 11:27:41 : 新提交 (由 Ren 更新此狀態)
2025/07/18 11:28:41 : 新提交 (由 Ren 更新此狀態)
2025/07/18 11:29:34 : 新提交 (由 Ren 更新此狀態)
2025/07/20 01:44:00 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/08/01 16:55:43 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/08/01 16:55:43 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/08/01 16:55:43 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/08/05 13:45:50 : 已修補 (由組織帳號更新此狀態)
2025/08/05 14:43:14 : 修補中 (由組織帳號更新此狀態)
2025/08/18 15:39:56 : 已修補 (由組織帳號更新此狀態)
2025/08/26 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2025-00739
通報者：abc744587 (Ren)
風險：嚴重
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

在高雄科技大學企業管理系所使用之 Apeos 印表機的 Web 管理介面中，於「個人頁面」功能內，發現多位使用者的資料夾目錄存在，雖設有密碼保護機制，但經觀察與測試，該驗證機制疑似沿用印表機預設密碼規則，安全性不足。

經 Google 搜尋 Apeos 系列印表機之預設密碼，得知預設為 x-admin 或 5 位數數字。結合使用者名單中的名稱進行查詢，發現該列表多為「高雄科技大學企業管理系」之教師，進一步研判此印表機為該系所設置。另觀察該系分機號碼亦為 5 碼數字，故嘗試將分機號碼作為密碼登入其對應的「個人頁面」，結果成功登入。

登入後可見多筆歷史列印文件可供下載，包含發票、成績單、補助核銷單據及其他機敏資料，內容涉及大量個人資訊，例如身分證字號、銀行帳號、戶籍地址、姓名與財務金額等。由於該印表機管理介面可開放於外網存取，且帳號與密碼邏輯可被輕易推測與繞過，導致未經授權之第三方可取得大量敏感個資，構成嚴重的資訊外洩風險。

修補建議

1. 關閉印表機 Web 管理介面對外網之存取：
　　建議於網路層防火牆封鎖該印表機對外（Internet）之連接，僅開放內部網段可存取管理介面，以降低遭外部攻擊之風險。

2. 強制變更並強化密碼規則：
　　若列表機功能允許，建議針對所有使用者帳號，導入密碼複雜度政策（如至少 8 碼，含大小寫、數字與特殊字元），避免以分機號碼或簡易數字組合作為密碼。

3. 定期檢查列印與掃描記錄：
　　定期清理已列印的暫存檔案，避免敏感資料長期留存於裝置上被任意下載。