Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00098
- 發信 Vendor: 宏全資訊股份有限公司
- Title: 宏全資訊 網站開放目錄洩漏多校帳號密碼
- Introduction: 網站 static 目錄開啟目錄瀏覽,洩漏含有多校帳號密碼的敏感檔案
處理狀態
目前狀態
公開
Last Update : 2026/04/15
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2026/01/21 16:34:41 : 新提交 (由 肉 更新此狀態)
- 2026/01/27 12:49:01 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/27 18:24:27 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/27 18:24:27 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/31 17:48:31 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/31 17:48:31 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/31 17:48:31 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/06 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)
- 2026/04/07 11:08:56 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/15 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00098
- 通報者:kevin2758 (肉)
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://www.ebook123.com.tw/static/
https://www.ebook123.com.tw/static/excel/Ezbook_record.xlsx
https://www.ebook123.com.tw/static/excel/Ezbook_record.xlsx
敘述
該公司網站開啟目錄瀏覽功能,導致 /static/ 目錄下所有檔案可被任意存取。其中包含敏感的 Excel 檔案,內含多所學校的帳號密碼。
漏洞一:開放目錄
https://www.ebook123.com.tw/static/
目錄瀏覽功能開啟,可列出所有檔案。
漏洞二:明文帳號密碼洩漏
https://www.ebook123.com.tw/static/excel/Ezbook_record.xlsx
檔案內容包含:
- 登入帳號(如 ltes.tc, wfps.tc, dwhs.tn 等)
- 明文密碼
- 學校名稱(台中市賴厝國小、霧峰國小、台南市大灣高中等)
影響範圍
至少包含台中、台南、苗栗、桃園等縣市多所學校:
修補建議
1. 立即關閉目錄瀏覽功能
2. 移除或限制敏感檔案存取
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。