CVE-2024-9921 (CVSS 9.8): 在流行的商业协作工具 Team+ 中发现严重漏洞

阅读量33566

发布时间 : 2024-10-16 14:11:27

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-9921-cvss-9-8-critical-flaw-found-in-popular-business-collaboration-tool-team/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-9921 - Team+

在 TWCERT/CC(台湾计算机应急响应小组/协调中心)最近发布的漏洞说明中,Team+(由 TEAMPLUS TECHNOLOGY 开发的一款流行的安全通信和协作平台)被发现存在三个重大安全漏洞。如果这些漏洞未得到修补,攻击者就可以在未经授权的情况下访问敏感数据、篡改文件和利用后端系统。鉴于这些漏洞的严重性,依赖 Team+ 的企业必须迅速采取行动,确保它们受到保护。

Team+以其安全、基于私有云的结构和强大的功能(如即时消息和视频会议)而闻名,已成为企业寻求简化通信和协作的主要工具。

SQL 注入为数据库混乱敞开大门(CVE-2024-9921)

最严重的漏洞被认定为 CVE-2024-9921,关键 CVSS 得分为 9.8,允许未经身份验证的攻击者注入恶意 SQL 命令。由于对特定页面参数的验证不当,未经身份验证的攻击者可注入任意 SQL 命令。这意味着恶意行为者可以读取、修改或删除数据库内容。利用此漏洞可能导致未经授权访问敏感的公司数据,包括机密通信、用户凭证和存储在平台中的文件。

路径遍历漏洞暴露系统文件(CVE-2024-9922 和 CVE-2024-9923)

还有两个漏洞(CVE-2024-9922 和 CVE-2024-9923)利用了路径遍历弱点。CVE-2024-9922 (CVSS 7.5) 允许未经认证的攻击者读取任意系统文件,从而可能暴露机密配置或敏感系统信息。CVE-2024-9923 (CVSS 4.9)需要管理员权限,攻击者可将任意系统文件移动到网站根目录,使外部可以访问这些文件。

需要采取紧急行动: 更新至 v14.0.0 或更高版本

TEAMPLUS TECHNOLOGY 已在 14.0.0 或更高版本中解决了这些漏洞。TWCERT/CC 强烈呼吁所有运行 13.5.x 版本的 Team+ 用户立即更新其系统,以降低这些重要的安全风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66