Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00953
- 發信 Vendor: 德昇資訊
- Title: 德昇資訊 未授權者可直接登入並取得資料庫憑證進而全面接管系統
- Introduction: 伺服器對外洩漏
處理狀態
目前狀態
公開
Last Update : 2025/10/11
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2025/08/11 15:09:40 : 新提交 (由 Elvis 更新此狀態)
- 2025/08/14 21:25:04 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/26 15:41:43 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/26 15:41:43 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/26 15:41:43 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/11 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00953
- 通報者:summer78315 (Elvis)
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://211.21.12.226/Web.config
http://211.21.12.226/admin/
http://211.21.12.226/admin/
敘述
(1) 預設帳密,進入後台管理介面 (http://211.21.12.226/admin/) 時,頁面上已自動填入帳號 admin 與密碼(儘管密碼以遮蔽符號顯示,但仍可透過前端程式碼或瀏覽器記錄直接取得)
(2) 敏感檔案直接對外公開(web.config 泄漏)
修補建議
(1) 後台登入安全
移除頁面中自動填入的帳號密碼。
若可能,限制後台登入來源(IP 白名單或 VPN)。
(2) Web.config 保護
禁止對外直接存取:在 IIS 或 Web Server 設定中阻擋 .config 等敏感檔案類型
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。