平台
nodejs
组件
tenderdoctransfer
修复版本
0.41.157
CVE-2024-12641 描述了中信电信 TenderDocTransfer 应用程序中的跨站脚本 (XSS) 漏洞。该漏洞允许未经身份验证的远程攻击者通过钓鱼攻击利用特定 API,在用户浏览器中执行任意 JavaScript 代码。由于应用程序设置了一个简单的本地 Web 服务器并提供 API,攻击者甚至可以进一步利用 Node.Js 功能执行 OS 命令,影响版本 0.41.151 至 0.41.156。已发布补丁版本 0.41.157。
该 XSS 漏洞的潜在影响非常严重。攻击者可以利用此漏洞窃取用户的敏感信息,例如 Cookie 和会话令牌,从而冒充用户执行恶意操作。更糟糕的是,由于应用程序支持 Node.Js 功能,攻击者可以利用此漏洞在服务器上执行 OS 命令,从而完全控制受影响的系统。这可能导致数据泄露、系统损坏,甚至可能导致整个网络被攻陷。攻击者可以利用此漏洞进行横向移动,攻击其他连接到同一网络的系统。由于漏洞的严重性和攻击的潜在影响,该漏洞应被视为高优先级。
CVE-2024-12641 已于 2024 年 12 月 16 日公开披露。目前尚无公开的漏洞利用程序 (PoC),但该漏洞的严重性和潜在影响使其成为攻击者的潜在目标。由于该漏洞允许执行 OS 命令,因此可能被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,并及时采取措施缓解此漏洞。
Organizations and individuals utilizing TenderDocTransfer in their workflows are at risk, particularly those relying on the application for sensitive data transfer. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a successful attack could potentially impact other users on the same server.
• nodejs / server:
grep -r 'TenderDocTransfer' /var/log/nodejs/• generic web:
curl -I <target_url> | grep -i 'X-XSS-Protection'• generic web:
curl -I <target_url> | grep -i 'Content-Security-Policy'disclosure
漏洞利用状态
EPSS
31.44% (97% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 TenderDocTransfer 的 0.41.157 版本。如果升级不可行,可以考虑以下临时缓解措施:首先,实施严格的输入验证和输出编码,以防止恶意脚本注入。其次,实施 CSRF 保护机制,以防止攻击者利用 API 执行未经授权的操作。第三,监控应用程序的访问日志,以检测可疑活动。如果发现可疑活动,立即采取措施隔离受影响的系统。最后,可以考虑使用 Web 应用程序防火墙 (WAF) 来过滤恶意流量,并阻止攻击者利用此漏洞。升级后,请验证新版本是否已成功部署,并且漏洞已得到修复。
将 TenderDocTransfer 更新到已修复版本,该版本为 API 实施了 CSRF 保护。作为临时措施,避免打开可能利用反射型 XSS 漏洞的任何可疑链接或文档。联系供应商 (Chunghwa Telecom) 以获取更新版本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-12641 是中信电信 TenderDocTransfer 应用程序中的跨站脚本 (XSS) 漏洞,允许攻击者执行恶意 JavaScript 代码。
如果您正在使用 TenderDocTransfer 的 0.41.151–0.41.156 版本,则您可能受到此漏洞的影响。
请立即升级到 TenderDocTransfer 的 0.41.157 版本。
目前尚无公开的漏洞利用程序,但由于漏洞的严重性,攻击者可能正在积极寻找利用方法。
请访问中信电信官方网站或安全公告页面,查找有关 CVE-2024-12641 的详细信息。