中华资安 IFTOP 系统多漏洞公告 (CVE-2025-8909~8914)

关键信息 TVN ID TVN-202508D002 CVE ID CVE-2025-8909 CVE-2025-8910 CVE-2025-8911 CVE-2025-8912 CVE-2025-8913 CVE-2025-8914 CVSS CVE-2025-8909: 6.5 (Medium) CVE-2025-8910, CVE-2025-8911: 5.1 (Medium) CVE-2025-8912: 7.5 (High) CVE-2025-8913: 9.8 (Critical) CVE-2025-8914: 6.5 (Medium) 影响产品 单一签入暨电子目录服务系统 IFTOP_P3_2_1_196(含)以前版本 问题描述 CVE-2025-8909: Arbitrary File Reading - 已取得一般权限之远端攻击者可利用Absolute Path Traversal下载任意系统档案。 CVE-2025-8910, CVE-2025-8911: Reflected Cross-Site Scripting - 未经身份鉴别之远端攻击者可利用钓鱼攻击于受害用户浏览器执行任意JavaScript程式码。 CVE-2025-8912: Arbitrary File Reading - 未经身份鉴别之远端攻击者可利用Absolute Path Traversal下载任意系统档案。 CVE-2025-8913: Local File Inclusion - 未经身份鉴别之远端攻击者可利用此漏洞于伺服器端执行任意程式码。 CVE-2025-8914: SQL Injection - 未经身份鉴别之远端攻击者可注入任意SQL指令读取资料库内容。 解决方法 更新至IFTOP_P3_2_1_197(含)以后版本 漏洞连络人 Lai Yu-Jen(中华资安国际), BTTest(中华资安国际) 公开日期 2025-08-13

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

中华资安 IFTOP 系统多漏洞公告 (CVE-2025-8909~8914)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！