教育機構ANA通報平台
|
發佈編號 |
TACERT-ANA-2026030209035050 |
發佈時間 |
2026-03-02 09:40:56 |
|
事故類型 |
ANA-漏洞預警 |
發現時間 |
2026-03-02 09:40:56 |
|
影響等級 |
低 |
||
|
[主旨說明:]【漏洞預警】SolarWinds旗下Serv-U軟體存在4個重大資安漏洞 |
|||
|
[內容說明:] SolarWinds Serv-U是一款用於安全文件傳輸的伺服器軟體,支援FTP、FTPS、SFTP等多種協議,具備易用的管理介面,並支援跨平台與跨裝置存取等功能。日前,SolarWinds發布旗下產品Serv-U存在4個重大資安漏洞。 【CVE-2025-40538,CVSS:9.1】 此為存取控制漏洞,允許攻擊者建立系統管理員,並透過網域管理員或群組管理員權限,以特權帳號身分執行任意程式碼。 【CVE-2025-40539,CVSS:9.1】 此為類型混淆漏洞,允許攻擊者能以特權帳號身分執行任意本機程式碼。 【CVE-2025-40540,CVSS:9.1】 此為類型混淆漏洞,允許攻擊者能以特權帳號身分執行任意本機程式碼。 【CVE-2025-40541,CVSS:9.1】 此為不安全直接物件參考(IDOR)漏洞,允許攻擊者能以特權帳號身分執行任意本機程式碼。 情資分享等級: WHITE(情資內容為可公開揭露之資訊) |
|||
|
[影響平台:] |
|||
|
[建議措施:] |
|||
|
[參考資料:] |
|||
|
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。 |
|
教育機構資安通報應變小組 |