進陞科技股份有限公司目錄遍歷漏洞導致上傳目錄內容外洩

Vulnerability Overview

ZDID: ZD-2026-00091
發信 Vendor: 台灣電腦網路危機處理暨協調中心(TWCERT/CC)
Title: 進陞科技股份有限公司目錄遍歷漏洞導致上傳目錄內容外洩
Introduction: 網站存在目錄遍歷漏洞 (Directory Listing) 導致上傳目錄內容外洩

處理狀態

目前狀態

公開

Last Update : 2026/04/05

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2026/01/20 21:49:47 : 新提交 (由 4D-Wing 更新此狀態)
2026/01/26 17:54:43 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/27 18:10:16 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/27 18:10:16 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/27 18:10:16 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/29 17:15:03 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/29 17:15:03 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/29 17:15:03 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/02/02 14:07:46 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/05 03:00:13 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00091
通報者：loyenhsiang (4D-Wing)
風險：低
類型：其他 (Other)

參考資料

暫無資料

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

使用Google Hacking 發現目標網站的 /data/the_upload_file/ 目錄未關閉 Directory Listing 功能。
攻擊者可瀏覽並下載該目錄下所有檔案。
檢視目錄內容發現大量異常檔名（如 XSS Payload、SQL Injection Payload），顯示該上傳路徑已被自動化工具掃描或濫用。
若該目錄包含正常使用者上傳之機敏文件（如身分證件、單據），將導致嚴重個資外洩。