教育机构ANA通报平台
|
发布编号
|
|
发布时间
|
|
|
事故类型
|
ANA-漏洞预警
|
发现时间
|
2024-10-03 14:49:46
|
|
影响等级
|
中
|
||
|
[主旨说明:]【漏洞预警】普莱德科技交换器设备存在多个高风险漏洞。
|
|||
|
[内容说明:]
转发 台湾电脑网络危机处理暨协调中心 TWCERTCC-200-202410-00000001 【普莱德科技交换器设备 - Remote privilege escalation using hard-coded credentials】 (CVE-2024-8448,CVSS 3.x:8.8) 普莱德科技部分交换器型号之特定命令列接口存在hard-coded帐号通行码,已取得一般权限之远端攻击者以该组帐密登入后可取得Linux root shell. 【普莱德科技交换器设备 - Missing Authentication for multiple HTTP routes】 (CVE-2024-8456,CVSS 3.x:9.8) 普莱德科技部分交换器型号之韧体上传与下载功能缺乏适当的存取控制,允许未经身分鑑别的远程攻击者下载与上传韧体、系统组态设定,最终获得设备的完全控制权。 【普莱德科技交换器设备 - Cross-site Request Forgery】 (CVE-2024-8458,CVSS 3.x:8.8) 普莱德科技部分交换器型号之网页应用程式存在Cross-Site Request Forgery(CSRF)漏洞,未经身分鑑别之远端攻击者诱骗使用者浏览恶意网站后,可假冒该使用者身分进行操作,例如新增帐号。 情资分享等级: WHITE(情资内容为可公开揭露之资讯) 此讯息仅发送到「区县市网络中心」,烦请贵单位协助公告或转发 |
|||
|
[影响平台:]
● GS-4210-24PL4C hardware 2.0 ● GS-4210-24P2S hardware 3.0 |
|||
|
[建议措施:]
1. 更新 GS-4210-24PL4C hardware 2.0 之韧体至 2.305b240719(含)以后版本 2. 更新 GS-4210-24P2S hardware 3.0 之韧体至 3.305b240802(含)以后版本 |
|||
|
[参考资料:]
1. 普莱德科技交换器设备 - Remote privilege escalation using hard-coded credentials:https://www.twcert.org.tw/tw/cp-132-8045-a2804-1.html 2. 普莱德科技交换器设备 - Missing Authentication for multiple HTTP routes:https://www.twcert.org.tw/tw/cp-132-8061-91872-1.html 3. 普莱德科技交换器设备 - Cross-site Request Forgery:https://www.twcert.org.tw/tw/cp-132-8065-579c1-1.html |
|||
|
(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。
|
|
教育机构资安通报应变小组
网址:https://info.cert.tanetedu.tw/ 专线电话:07-5250211 网络电话:98400000 E-Mail:service@cert.tanet.edu.tw |