• 首頁
  • 更新資訊
  • 漏洞修補
MailSherlock 郵件稽核歸檔系統
2023-02-24|Broken Access Control|TVN-202302010|CVE-2023-24842
TVN ID TVN-202302010
CVE ID CVE-2023-24842
CVSS 5.3 (Medium)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
影響產品 HGiga MailSherlock
系統版本:v4.5
系統套件:iSherlock-user-4.5 <= 4.5-161 & iSherlock-antispam-4.5 <=4.5-167
問題描述 MailSherlock特定功能未進行適當的權限控管,遠端攻擊者不須權限,變更URL中的使用者及信件ID,即可查看其他使用者部分信件內容(如信件主旨)。
解決方法 更新MailSherlock之iSherlock-user及iSherlock-antispam系統套件至以下版本:iSherlock-user-4.5-162.386.rpm &
iSherlock-antispam-4.5-168.386.rpm
漏洞通報者 Dong-Jie Chen (CHT Security)
公開日期 2023-02-24
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|Command Injection|TVN-202302009|CVE-2023-24841
TVN ID TVN-202302009
CVE ID CVE-2023-24841
CVSS 7.2 (High)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
影響產品 HGiga MailSherlock 系統版本:v4.5
系統套件:iSherlock-sysinfo-4.5 <= 4.5-132
問題描述 MailSherlock連線紀錄查詢功能未對參數值進行特殊字元過濾,遠端攻擊者以管理者權限登入後,即可利用此漏洞進行Command Injection攻擊,執行任意系統指令,進而對系統進行控制,並中斷服務。
解決方法 更新MailSherlock之iSherlock-sysinfo系統套件至iSherlock-sysinfo-4.5-133.386.rpm
漏洞通報者 Dong-Jie Chen (CHT Security)
公開日期 2023-02-24
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|SQL Injection|VN-202302008|CVE-2023-24840
TVN ID VN-202302008
CVE ID CVE-2023-24840
CVSS 7.2 (High)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
影響產品 HGiga MailSherlock
系統版本:v4.5
系統套件:iSherlock-query-4.5 <= 4.5-167
問題描述 MailSherlock信件查詢功能未對使用者輸入之參數進行驗證,遠端攻擊者以管理者權限登入後,即可注入任意SQL語法讀取、修改及刪除資料庫。
解決方法 更新MailSherlock之iSherlock-query系統套件至iSherlock-query-4.5-168.386.rpm
漏洞通報者 Dong-Jie Chen (CHT Security)
公開日期 2023-02-24
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|Reflected XSS|TVN-202302007|CVE-2023-24839
TVN ID TVN-202302007
CVE ID CVE-2023-24839
CVSS 6.1 (Medium)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
影響產品 HGiga MailSherlock
系統版本:v4.5
系統套件:iSherlock-user-4.5 <= 4.5-161 & iSherlock-antispam-4.5 <=4.5-167
問題描述 MailSherlock特定功能未過濾URL參數中的特殊字元,遠端攻擊者不須權限,即可注入JavaScript語法進行攻擊,進行反射型XSS (Reflected Cross-site scripting)攻擊。
解決方法 更新MailSherlock之iSherlock-user及iSherlock-antispam系統套件至以下版本:iSherlock-user-4.5-162.386.rpm &
iSherlock-antispam-4.5-168.386.rpm
漏洞通報者 Dong-Jie Chen (CHT Security)
公開日期 2023-02-24
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
PowerStation Plus 智慧型網路閘道系統
2023-02-24|Information Leakage|TVN-202302006|CVE-2023-24838
TVN ID TVN-202302006
CVE ID CVE-2023-24838
CVSS 9.8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品 HGiga PowerStation firmware version < x64.6.2.165
問題描述 PowerStation特定功能存有Information Leakage漏洞,遠端攻擊者不須權限,連線至伺服器時,系統即回傳含有管理員明文帳號密碼的伺服器設定檔,進而對系統進行控制,並中斷服務。
解決方法 Update PowerStation firmware version to x64.6.2.165, then reboot PowerStation.
漏洞通報者 Chiu TsungShu, Dong-Jie Chen (CHT Security)
公開日期 2023-02-24
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2023-02-24|Command Injection|TVN-202302005|CVE-2023-24837
TVN ID TVN-202302005
CVE ID CVE-2023-24837
CVSS 8.8 (High)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
影響產品 HGiga PowerStation firmware version < x64.6.2.165
問題描述 PowerStation之遠端管理功能未對使用者輸入進行特殊字元過濾,遠端攻擊者以一般使用者權限登入後,即可利用此漏洞進行Command Injection攻擊,執行任意程式指令或中斷系統服務。
解決方法 Update PowerStation firmware version to x64.6.2.165, then reboot PowerStation.
漏洞通報者 Chiu TsungShu (CHT Security)
公開日期 2023-02-24
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
OAKlouds 企業協同作業入口網
2023-03-02| Arbitrary File Upload| TVN-202303001|CVE-2023-25909
TVN ID TVN-202303001
CVE ID CVE-2023-25909
CVSS 9.8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品 桓基科技HGiga OAKlouds OAKSv2
桓基科技HGiga OAKlouds OAKSv3
問題描述 桓基科技HGiga OAKlouds上傳功能未對上傳檔案進行檢查限制,導致不須登入的遠端攻擊者可以上傳任意檔案,進而執行任意程式碼或中斷系統服務。
解決方法 - 更新入口網版面配置模組套件OAKlouds-layout-2.0 到 OAKlouds-layout-2.0-10
- 更新入口網版面配置模組套件OAKlouds-layout-3.0 到 OAKlouds-layout-3.0-10
漏洞通報者 Wayne Lee (CHT Security)
公開日期 2023-03-02
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com
2022-08-30|SQL Injection|TVN-202208003|CVE-2022-38118
TVN ID TVN-202208003
CVE ID CVE-2022-38118
CVSS 8.8 (High)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
影響產品 OAKlouds行動入口網(OAKSv2、OAKSv3)會議室管理模組,受影響之套件版號:
OAKlouds-mol_metting-2.0 <= OAKlouds-mol_metting-2.0-163
OAKlouds-mol_metting-3.0 <= OAKlouds-mol_metting-3.0-163
問題描述 OAKlouds行動入口網之會議室系統功能參數未對使用者輸入進行驗證,遠端攻擊者取得一般使用者權限後,即可注入任意SQL語法讀取、修改及刪除資料庫。
解決方法 OAKlouds行動入口網(OAKSv2、OAKSv3)會議室管理模組,修正的套件版號:
OAKlouds-mol_metting-2.0 >= OAKlouds-mol_metting-2.0-164
OAKlouds-mol_metting-3.0 >= OAKlouds-mol_metting-3.0-164
漏洞通報者 Dong-Jie Chen (CHT Security)
公開日期 2022-08-30
桓基科技在此漏洞揭露的第一時間即進行所有產品之盤查,完成此漏洞的更新修補,確定所有產品已不受此漏洞影響。 針對擔心自身安全保護的客戶,桓基科技提供系統健診服務,如有需求,請洽桓基客服中心。
客服專線: +886-2-25991833, 0800-222-739
客服信箱: service.support@hgiga.com
客服線上叫修: http://service.hgiga.com