前言
近期出差回來後,我在使用公司 BPM 系統處理出差紀錄等表單時,無意間發現僅透過修改 Cookie,就可以切換成另一位使用者的身份。
並 Google 搜尋一下,發現剛好 TWCERT 最近也發布了相關的 CVE 漏洞資訊。
話雖是最近發現的,但漏洞應該存在了至少 8 年以上(2017 ~ 2024)。另外這套系統有嚴重 Bug,後續的廠商的更新好像也不怎麼給力?
弱點揭露
根據國家漏洞資料庫(National Vulnerability Database, NVD),該漏洞被 CVSS v3 評為 8.8,屬於高風險漏洞。主要弱點在於系統過度依賴 Cookie 資訊,卻未進行完整性檢查。
簡單來說,這就像是進入某審核區域時所發放的識別證,證件上包含你的姓名,但這個姓名資訊並未經加密或驗證。若有人將姓名篡改為他人名稱,就能冒用該身份進入系統後台,甚至使用一個不存在的名字也可以繞過審核直接進入。
建議解決方法
根據臺灣漏洞揭露平台(TVN)的建議,系統更新至 v5.3.1 或更高版本可以解決此漏洞。
然而,仍需注意以下幾點:
- 依我個人的觀點,該系統存在眾多潛在漏洞,不建議在公開網絡上架設。
- 我不認為 v5.3.1 已完全解決此漏洞的所有問題。
影響範疇
- 個人資訊洩漏:包含員工編號、姓名(中英文)、電子郵件地址以及入職日期。
- 流程審批核准與駁回:對工作流程授權的控制。
其他尚未公開潛在風險
檔案系統存在未授權存取漏洞,允許使用者自由存取其他人上傳的檔案。