Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00347
- 發信 Vendor: 國立高雄科技大學(NKUST)
- Title: 國立高雄科技大學 教授個人分享伺服器未設存取控制,導致研究助理僱用申請表個資外洩
- Introduction: 教授架設的個人分享伺服器啟用 Directory Listing 且未設置任何身份驗證,導致多名研究助理的僱用申請表(含身分證字號、電話號碼等完整個資),可被任何人直接瀏覽與下載。
處理狀態
目前狀態
公開
Last Update : 2026/04/07
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2026/03/18 21:45:54 : 新提交 (由 肉 更新此狀態)
- 2026/03/18 22:01:21 : 新提交 (由 肉 更新此狀態)
- 2026/03/23 23:52:41 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/26 18:38:27 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/26 18:38:27 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/26 18:38:27 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/30 15:09:44 : 已修補 (由 組織帳號 更新此狀態)
- 2026/04/07 03:00:14 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00347
- 通報者:kevin2758 (肉)
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://share.wmt35.idv.tw/
敘述
漏洞概述
架設了個人分享伺服器 share.wmt35.idv.tw,該伺服器啟用了 Directory Listing 且完全未設置身份驗證或存取控制機制,任何人皆可透過瀏覽器直接存取根目錄,瀏覽並下載所有檔案,其中包含多份含有完整個人資料的人事文件。
重現步驟
- 使用瀏覽器開啟
https://share.wmt35.idv.tw/ - 頁面直接顯示 Directory Listing,列出所有檔案
- 點擊任一 PDF 檔案即可下載,無需任何身份驗證
外洩的敏感文件
1. 僱用申請表
目錄中包含兩份研究助理的僱用申請表 PDF:
亭君僱用申請表.pdf(2MB,2024-11-07)欣慧僱用申請表.pdf(405KB,2024-11-07)
影響評估
- 受影響人員: 至少 3 名人員的完整個資遭外洩(2 名研究助理 + 1 名研究津貼受領人),另有學生個資(含學號與手機號碼)一併暴露。
- 個資敏感性: 僱用申請表包含身分證字號、等高度敏感資訊,可被用於身份冒用、詐騙等犯罪行為。
修補建議
1. 立即關閉公開存取:對 `share.wmt35.idv.tw` 設置密碼保護或 IP 白名單,或直接關閉該伺服器
2. 移除所有敏感文件:將僱用申請表、等含有個資的文件從公開伺服器中刪除
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。