某單位新校務系統請假系統檔案下載系統 IDOR - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

ZDID: ZD-2026-00659
Title: 某單位新校務系統請假系統檔案下載系統 IDOR
Introduction: 新校務系統在學生登入後可在請假系統下載的路徑填入任何檔案，並可以直接下載伺服器 web.config 檔案並洩漏一些系統的帳號與密碼

處理狀態

目前狀態

未修補完成

Last Update : 2026/06/01

新提交
已審核
已通報
修補階段
未複測
公開

處理歷程

2026/05/13 21:33:25 : 新提交 (由 hw49 更新此狀態)
2026/05/13 21:42:03 : 新提交 (由 hw49 更新此狀態)
2026/05/14 13:15:38 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/27 17:59:33 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/27 17:59:33 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/27 17:59:33 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/28 16:05:20 : 複測申請中 (由組織帳號更新此狀態)
2026/05/28 16:41:16 : 未修補完成 (由 hw49 更新此狀態)
2026/06/01 12:47:47 : 複測申請中 (由組織帳號更新此狀態)
2026/06/01 13:03:28 : 未修補完成 (由 hw49 更新此狀態)
2026/06/01 16:03:24 : 複測申請中 (由組織帳號更新此狀態)
2026/06/01 17:37:33 : 未修補完成 (由 hw49 更新此狀態)

詳細資料

ZDID：ZD-2026-00659
通報者：hw49 (hw49)
風險：高
類型：不安全的直接存取物件 (Insecure Direct Object References, IDOR)

留言討論

;