【安全资讯】CVE-2024-9921 (CVSS 9.8): 在流行的商业协作工具Team+中发现严重漏洞

安恒恒脑 2024-10-16 02:24:03 715人浏览

概要:

近期,台湾计算机紧急响应小组(TWCERT/CC)发布了一则漏洞通报,指出流行的安全通信与协作平台Team+存在三项重大安全漏洞。这些漏洞若不及时修补,可能导致攻击者未经授权访问敏感数据、操控文件及利用后端系统,给依赖Team+的企业带来严重风险。

主要内容:

Team+以其安全的私有云结构和即时消息、视频会议等强大功能而受到企业青睐。最严重的漏洞CVE-2024-9921,CVSS评分高达9.8,允许未经身份验证的攻击者注入恶意SQL命令。由于特定页面参数的验证不当,攻击者可以注入任意SQL命令,进而读取、修改或删除数据库内容。这一漏洞的利用可能导致敏感公司数据的未经授权访问,包括机密通信、用户凭证及存储在平台中的文件。

此外,CVE-2024-9922和CVE-2024-9923两个路径遍历漏洞也值得关注。CVE-2024-9922(CVSS 7.5)允许未经身份验证的攻击者读取任意系统文件,可能暴露机密配置或敏感系统信息。而CVE-2024-9923(CVSS 4.9)虽然需要管理员权限,但允许攻击者将任意系统文件移动到网站根目录,使其对外界可访问。

TEAMPLUS TECHNOLOGY已在14.0.0及以后的版本中修复了这些漏洞。TWCERT/CC强烈建议所有使用13.5.x版本的Team+用户立即更新系统,以降低这些关键安全风险。
SQL注入 系统漏洞利用 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。