System U-Office Force firmy e-Excellence zawiera podatność typu Improper Authentication, która umożliwia niezautoryzowanym zdalnym atakującym zalogowanie się na konto administratora. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika.
▸ Pokaż oryginał (EN)
The U-Office Force from e-Excellence has an Improper Authentication vulnerability, allowing unauthenticated remote attackers to use a particular API and alter cookies to log in as an administrator.
Atakujący wykorzystuje określone API dostępne bez uwierzytelnienia, a następnie manipuluje wartościami cookies w taki sposób, aby system potraktował go jako zalogowanego administratora. Błąd wynika z nieprawidłowej walidacji tożsamości użytkownika po stronie serwera (CWE-565 — Reliance on Cookies without Validation and Integrity Checking). W efekcie mechanizm kontroli dostępu oparty na cookies może zostać całkowicie obejśty przez nieuprawnioną osobę.
Atakujący uzyskuje pełny dostęp administracyjny do systemu U-Office Force, co może prowadzić do ujawnienia poufnych danych, modyfikacji konfiguracji systemu lub jego całkowitego przejęcia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT/CC pod adresami: https://www.twcert.org.tw/en/cp-139-10012-d5bbc-2.html oraz https://www.twcert.org.tw/tw/cp-132-10011-3de72-1.html
Produkt U-Office Force firmy e-Excellence (Edetw); konkretne wersje należy zweryfikować w referencjach producenta opublikowanych przez TWCERT/CC.
Podatność została zgłoszona i opublikowana przez tajwańskie centrum TWCERT/CC (Taiwan Computer Emergency Response Team / Coordination Center) w dniu 2025-03-17.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HEdetw U Office Force
APPEdetw< 28.0
Powiązane podatności
Insecure Deserialization w Edetw U-Office Force umożliwia zdalne RCE
e-Excellence U-Office Force file uploading function does not restrict upload of file with dangerous type. An ...
U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...
U-Office Force developed by e-Excellence has a SQL Injection vulnerability, allowing authenticated remote atta...
The U-Office Force from e-Excellence has an Arbitrary File Upload vulnerability, allowing remote attackers wit...