Chunghwa Telecom TenderDocTransferに認証回避やコマンド実行が可能となる脆弱性
| Title |
Chunghwa Telecom TenderDocTransferに認証回避やコマンド実行が可能となる脆弱性
|
| Summary |
Chunghwa TelecomのTenderDocTransferには、反射型クロスサイトスクリプティングの脆弱性が存在します。このアプリケーションはローカルウェブサーバーを起動し、ターゲットウェブサイトとの通信のためのAPIを提供しています。APIにCSRF保護が実装されていないため、認証されていないリモートの攻撃者がフィッシングを通じて特定のAPIを利用し、ユーザーのブラウザ上で任意のJavaScriptコードを実行できます。さらに、このアプリケーションが設定するウェブサーバーはNode.jsの機能をサポートしているため、攻撃者がOSコマンドの実行を行うことも可能です。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
Dec. 16, 2024, midnight |
| Registration Date |
Dec. 25, 2025, 5:18 p.m. |
| Last Update |
Dec. 25, 2025, 5:18 p.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.6
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Affected System
| Chunghwa Telecom Co., Ltd. |
|
TenderDocTransfer 0.41.151 から 0.41.157 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2025年12月25日]
掲載 |
Dec. 25, 2025, 5:18 p.m. |
NVD Vulnerability Information
CVE-2024-12641
| Summary |
TenderDocTransfer from Chunghwa Telecom has a Reflected Cross-site scripting vulnerability. The application sets up a simple local web server and provides APIs for communication with the target website. Due to the lack of CSRF protection for the APIs, unauthenticated remote attackers could use specific APIs through phishing to execute arbitrary JavaScript code in the user’s browser. Since the web server set by the application supports Node.Js features, attackers can further leverage this to run OS commands.
|
| Publication Date |
Dec. 16, 2024, 4:15 p.m. |
| Registration Date |
Dec. 17, 2024, 4:01 a.m. |
| Last Update |
Dec. 16, 2024, 4:15 p.m. |
Related information, measures and tools
Common Vulnerabilities List