Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01374
- 發信 Vendor: 暐凱國際檢驗科技股份有限公司
- Title: 暐凱國際檢驗科技 客戶檢驗報告外洩
- Introduction: 檢驗報告目錄對外開放,洩漏大量客戶個資與商業機密
處理狀態
目前狀態
公開
Last Update : 2025/12/30
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2025/10/30 15:04:56 : 新提交 (由 肉 更新此狀態)
- 2025/11/03 01:02:43 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/11/05 15:12:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/11/05 15:12:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/12/30 03:00:14 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01374
- 通報者:kevin2758 (肉)
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://www.fsi.net.tw/report/?C=M;O=D
敘述
檢驗報告儲存目錄開啟 Directory Listing,任何人無需認證即可下載所有客戶的檢驗報告
重現步驟:
- 訪問 https://www.fsi.net.tw/report/?C=M;O=D
- 瀏覽完整報告列表
- 可查看所有檢驗報告 PDF
影響
- 客戶個資外洩:委託公司名稱、地址、聯絡人、電話
- 競爭情報外洩:競爭對手可了解客戶產品資訊
修補建議
1. 立即關閉目錄訪問並移除所有公開報告
2. 實施身份驗證:客戶僅能下載自己的報告
3. 報告加密與浮水印:防止二次外洩
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。