教育機構ANA通報平台
|
發佈編號 |
TACERT-ANA-2023020210024747 |
發佈時間 |
2023-02-02 10:47:48 |
|
事故類型 |
ANA-漏洞預警 |
發現時間 |
2023-02-02 08:50:48 |
|
影響等級 |
低 |
||
|
[主旨說明:]【漏洞預警】全景軟體 MegaServiSignAdapter存在多個漏洞(CVE-2022-39061, CVE-2022-39060, CVE-2022-39059) |
|||
|
[內容說明:] 全景軟體 MegaServiSignAdapter存在多個漏洞(CVE-2022-39061, CVE-2022-39060, CVE-2022-39059), 其漏洞說明如下: ● CVE-2022-39061: MegaServiSignAdapter元件特殊功能並未驗證傳入之參數長度,存在Out-of-bounds Read漏洞,遠端攻擊者不須權限,即可利用此漏洞讀取用戶電腦中的部分記憶體內容,並造成部分服務中斷。 ● CVE-2022-39060: MegaServiSignAdapter元件特定功能未對傳入的參數值進行過濾與驗證,遠端攻擊者不須權限,即可利用該漏洞寫入Registry的HKEY_CURRENT_USER subkey (如AutoRUN),藉以執行惡意腳本來操控系統與終止服務。 ● CVE-2022-39059: MegaServiSignAdapter元件之讀取檔案功能參數存在Path Traversal漏洞,遠端攻擊者不須權限,即可利用此漏洞繞過身分認證機制,讀取任意系統檔案。 情資分享等級: WHITE(情資內容為可公開揭露之資訊) |
|||
|
[影響平台:] 全景軟體 MegaServiSignAdapter Windows版本v1.0.17.0823 |
|||
|
[建議措施:] 更新全景軟體 MegaServiSignAdapter Windows版本至v1.0.22.1004 |
|||
|
[參考資料:] |
|||
|
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。 |
|
教育機構資安通報應變小組 |