【安全资讯】CVE-2024-9921 (CVSS 9.8): 在流行的商业协作工具Team+中发现严重漏洞

概要：

近期，台湾计算机紧急响应小组（TWCERT/CC）发布了一则漏洞通报，指出流行的安全通信与协作平台Team+存在三项重大安全漏洞。这些漏洞若不及时修补，可能导致攻击者未经授权访问敏感数据、操控文件及利用后端系统，给依赖Team+的企业带来严重风险。

主要内容：

Team+以其安全的私有云结构和即时消息、视频会议等强大功能而受到企业青睐。最严重的漏洞CVE-2024-9921，CVSS评分高达9.8，允许未经身份验证的攻击者注入恶意SQL命令。由于特定页面参数的验证不当，攻击者可以注入任意SQL命令，进而读取、修改或删除数据库内容。这一漏洞的利用可能导致敏感公司数据的未经授权访问，包括机密通信、用户凭证及存储在平台中的文件。

此外，CVE-2024-9922和CVE-2024-9923两个路径遍历漏洞也值得关注。CVE-2024-9922（CVSS 7.5）允许未经身份验证的攻击者读取任意系统文件，可能暴露机密配置或敏感系统信息。而CVE-2024-9923（CVSS 4.9）虽然需要管理员权限，但允许攻击者将任意系统文件移动到网站根目录，使其对外界可访问。

TEAMPLUS TECHNOLOGY已在14.0.0及以后的版本中修复了这些漏洞。TWCERT/CC强烈建议所有使用13.5.x版本的Team+用户立即更新系统，以降低这些关键安全风险。