ArmorX LisoMail 電子郵件協同作業 - SQL Injection

TVN 編號:TVN-202012001


公開日期

2020-03-18

影響產品

  • ArmorX LisoMail 電子郵件協同作業 2017 年前版本

問題描述

ArmorX LisoMail電子郵件協同作業的URL參數,未對輸入的字串進行檢查,使攻擊者透過此漏洞進行SQL Injection攻擊。此漏洞不需登入即可讀取資料庫內容,取得user帳密進行登入,影響系統機密性,登入後可修改user密碼,影響系統完整性。

解決方法

更新至2020年1月後版本

CVE ID

漏洞通報者

Tony Kuo