System School Affairs System firmy Quanxun zawiera podatność umożliwiającą nieuwierzytelnionym atakującym dostęp do określonych stron aplikacji oraz pobranie informacji z bazy danych, w tym poświadczeń administratora w postaci jawnego tekstu. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją wyjątkowo poważnym zagrożeniem.
▸ Pokaż oryginał (EN)
School Affairs System from Quanxun has an Exposure of Sensitive Information, allowing unauthenticated attackers to view specific pages and obtain database information as well as plaintext administrator credentials.
Podatność polega na braku odpowiednich mechanizmów kontroli dostępu do wybranych stron aplikacji webowej — atakujący bez żadnego uwierzytelnienia może bezpośrednio je otworzyć. Na tych stronach aplikacja ujawnia wrażliwe informacje systemowe, w tym zawartość bazy danych oraz dane logowania administratora przechowywane w postaci niezaszyfrowanego (plaintext) tekstu. Sklasyfikowano to jako CWE-497, czyli ujawnienie wrażliwych informacji systemowych osobom nieuprawnionym.
Atakujący może uzyskać pełne poświadczenia administratora systemu w postaci jawnego tekstu, co w praktyce oznacza całkowite przejęcie kontroli nad aplikacją, jej danymi oraz potencjalnie infrastrukturą, na której działa.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT (https://www.twcert.org.tw/en/cp-139-8416-b6cba-2.html). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji na poziomie sieci (firewall, VPN) wyłącznie do zaufanych adresów IP.
School Affairs System produkcji Quanxun — konkretne wersje wskazane w referencjach producenta (TWCERT).
Podatność została zgłoszona i opublikowana przez tajwańskie centrum reagowania na incydenty TWCERT/CC. Data publikacji: 2025-02-11.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H