Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00499
- 發信 Vendor: 可威環境資源股份有限公司
- Title: 可威環境資源股份有限公司 網站目錄瀏覽啟用及多項資訊洩漏漏洞
- Introduction: 網站存在多項安全配置缺失,包括 WordPress 核心目錄啟用目錄瀏覽、使用者帳號可透過 REST API 枚舉、PHP 版本過期、伺服器資訊洩漏等問題,攻擊者可利用這些資訊進一步發動針對性攻擊
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2026/04/03 15:50:07 : 新提交 (由 Ianon 更新此狀態)
- 2026/04/07 22:47:56 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/09 18:39:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/09 18:39:03 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/09 18:39:03 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/06/03 03:00:11 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00499
- 通報者:Ianon (Ianon)
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
相關網址
https://www.cowindafa.com.tw/wp-json/wp/v2/users
https://www.cowindafa.com.tw/readme.html
https://www.cowindafa.com.tw/wp-admin/install.php
敘述
漏洞描述
經安全檢測發現,可威環境資源股份有限公司官方網站存在以下多項安全問題:
1. /wp-includes/ 目錄瀏覽啟用 (Directory Listing)
WordPress 核心目錄 /wp-includes/ 啟用了目錄瀏覽功能,攻擊者可直接瀏覽該目錄下所有檔案與子目錄。該目錄包含數百個 WordPress 核心 PHP 檔案、JavaScript 檔案、CSS 檔案及第三方函式庫。
暴露的內容包括:
- 完整的 WordPress 核心 PHP 檔案(如
class-wp-query.php,class-wp-user-query.php,capabilities.php等) - 第三方函式庫目錄(PHPMailer, SimplePie, Requests, ID3, sodium_compat 等)
- REST API、Widgets、Blocks、Customize 等功能模組目錄
- 所有檔案的最後修改時間與檔案大小
2. REST API 使用者枚舉
WordPress REST API 端點 /wp-json/wp/v2/users 未加任何存取限制,任何人皆可取得完整的使用者清單,包含使用者 ID、顯示名稱、登入帳號 (slug)、頭像連結等敏感資訊。
3. PHP 版本過期
HTTP 回應標頭 X-Powered-By: PHP/7.4.33 顯示網站使用 PHP 7.4.33,此版本已於 2022 年 11 月 28 日 結束支援 (EOL),不再接收任何安全更新,已知存在多個未修補的 CVE 漏洞。
4. WordPress 版本資訊暴露
readme.html可公開存取,暴露 WordPress 版本資訊- 從
/wp-includes/目錄檔案時間戳記可推斷 WordPress 核心版本(部分檔案日期為 2025-12-03 及 2026-02-04,顯示為較新版本但仍未更新至最新) - Yoast SEO 外掛版本 v27.3 暴露於 HTML 原始碼中
5. WordPress 安裝頁面可存取
/wp-admin/install.php 頁面可存取,雖然顯示「已完成安裝」,但仍暴露了 WordPress 的安裝端點,攻擊者可藉此確認 CMS 類型及安裝狀態。
6. 缺少安全 HTTP 標頭
檢測發現以下安全標頭缺失:
X-Frame-Options— 未設定,存在點擊劫持風險Content-Security-Policy— 未設定X-Content-Type-Options— 未設定Strict-Transport-Security— 未設定(HSTS)X-XSS-Protection— 未設定
7. 伺服器資訊洩漏
HTTP 回應標頭暴露了完整的伺服器架構資訊:
server: LiteSpeed— Web 伺服器類型x-powered-by: PHP/7.4.33— PHP 版本x-litespeed-cache: hit— 快取機制
重現步驟
1. 驗證目錄瀏覽漏洞
- 開啟瀏覽器,造訪
https://www.cowindafa.com.tw/wp-includes/ - 可看到完整的目錄列表,包含所有檔案與子目錄
- 預期結果:應返回 403 Forbidden 或 404 Not Found
- 實際結果:返回完整的目錄列表
2. 驗證使用者枚舉
- 執行以下命令或直接在瀏覽器中開啟:
curl -s https://www.cowindafa.com.tw/wp-json/wp/v2/users - 預期結果:未認證使用者應無法取得使用者清單
- 實際結果:返回完整 JSON 格式的使用者資料,包含 5 個帳號
3. 驗證 PHP 版本洩漏
- 執行以下命令檢查 HTTP 標頭:
curl -s -I https://www.cowindafa.com.tw/ - 回應中包含
x-powered-by: PHP/7.4.33 - PHP 7.4 已於 2022 年 11 月 EOL
4. 驗證 readme.html 可存取
- 開啟
https://www.cowindafa.com.tw/readme.html - 可看到完整的 WordPress 說明文件,暴露 CMS 類型
已洩漏之敏感資訊 / 漏洞利用結果
| 項目 | 內容 | 風險說明 |
|---|---|---|
| 完整目錄結構 | /wp-includes/ 下所有檔案與子目錄清單 |
攻擊者可了解網站架構,尋找已知漏洞的檔案版本 |
| 使用者帳號 | 5 個使用者帳號 (cowin, updraftplus, kenkao, kate-wu, gil) | 可用於暴力破解攻擊或社交工程攻擊 |
| PHP 版本 | PHP/7.4.33 (EOL) | 已知存在多個未修補 CVE,可被直接利用 |
| CMS 類型 | WordPress + LiteSpeed + Yoast SEO v27.3 + Elementor | 攻擊者可針對特定版本尋找已知漏洞 |
| 伺服器架構 | LiteSpeed Web Server | 可針對 LiteSpeed 特定漏洞進行攻擊 |
| 使用者真實姓名 | 高振禕、吳侖慧、林岳增 | 可用於社交工程或魚叉式釣魚攻擊 |
| 員工頭像連結 | Gravatar 連結含 MD5 hash email | 可反推員工 email 地址 |
| 網站安裝狀態 | install.php 可存取 | 暴露 CMS 安裝端點 |
影響
-
暴力破解風險:攻擊者已取得 5 個有效使用者帳號,可針對
/wp-login.php或 XML-RPC 進行暴力破解攻擊 -
已知漏洞利用:PHP 7.4.33 存在多個已公開的 CVE(如 CVE-2022-31629、CVE-2022-31630 等),攻擊者可利用這些漏洞執行遠端程式碼
-
WordPress 核心漏洞:透過目錄瀏覽暴露的檔案清單,攻擊者可比對檔案大小與時間戳記,精確判斷 WordPress 版本,進而利用該版本的已知漏洞
-
社交工程攻擊:暴露的員工真實姓名與帳號可用於精準的魚叉式釣魚攻擊
-
攻擊面擴大:目錄瀏覽功能使攻擊者能發現非常規檔案,如備份檔、設定檔、除錯檔等
-
後續攻擊鏈:
- 資訊收集 → 使用者枚舉 → 暴力破解 → 取得管理權限 → 上傳 Web Shell → 完全控制伺服器
修補建議
1. 禁用目錄瀏覽
2. 限制 REST API 使用者端點存取
3. 升級 PHP 版本
4. 移除或限制 readme.html 存取
5. 隱藏 PHP 版本標頭
6. 新增安全 HTTP 標頭
7. 限制 install.php 存取