高雄市政府教育局 後端未授權存取個人資料漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00971
  •  發信 Vendor: TACERT台灣學術網路危機處理中心
  • Title: 高雄市政府教育局 後端未授權存取個人資料漏洞
  • Introduction: 後端無需登入即可直接查看所有參賽學生的完整個人資料

處理狀態

目前狀態

公開
Last Update : 2025/09/20
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2025/08/14 10:42:52 : 新提交 (由 肉 更新此狀態)
  • 2025/08/14 10:44:04 : 新提交 (由 肉 更新此狀態)
  • 2025/08/14 21:32:59 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:57:49 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:57:49 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:57:49 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/09/05 14:05:25 : 已修補 (由 組織帳號 更新此狀態)
  • 2025/09/13 03:00:12 : 公開 (由 HITCON ZeroDay 平台自動更新)
  • 2025/09/18 13:04:42 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/09/19 18:05:59 : 確認已修補 (由 肉 更新此狀態)
  • 2025/09/20 03:00:36 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00971
  • 通報者:kevin2758 ()
  • 風險:中
  • 類型:存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://lang.kh.edu.tw/first/index.php
https://lang.kh.edu.tw/admin/paper.php?class=%E5%9C%8B%E5%B0%8F&zone=%E7%AC%AC%E4%B8%80%E5%8D%80&play_tm=%E5%9C%8B%E8%AA%9E%E6%9C%97%E8%AE%80

敘述

前端介面將參賽者姓名進行隱私處理(如:陳○霖),但直接訪問後端URL卻可看到完整資料,無需任何登入或權限驗證。

重現步驟

  1. 訪問前端網址 https://lang.kh.edu.tw/first/index.php 前端顯示已遮蔽姓名
    圖片
  2. Google意外索引到後台聯結,
    https://lang.kh.edu.tw/admin/paper.php?class=%E5%9C%8B%E5%B0%8F&zone=%E7%AC%AC%E4%B8%80%E5%8D%80&play_tm=%E5%9C%8B%E8%AA%9E%E6%9C%97%E8%AE%80
    可以直接訪問後端URL看到完整個人資料 學生完整姓名、學校、年級、指導老師、性別等個人資訊
    圖片

影響

  • 涉及個資外洩,可能被有心人士針對,因包含指導老師是誰
  • 原本要遮罩姓名的保護措施失去意義

修補建議

1. 後端加入身份驗證機制、權限控制,非管理員不能存取
2. 確保前後端隱私保護標準一致

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;