| タイトル | Chunghwa Telecom TenderDocTransferに認証回避やコマンド実行が可能となる脆弱性 |
|---|---|
| 概要 | Chunghwa TelecomのTenderDocTransferには、反射型クロスサイトスクリプティングの脆弱性が存在します。このアプリケーションはローカルウェブサーバーを起動し、ターゲットウェブサイトとの通信のためのAPIを提供しています。APIにCSRF保護が実装されていないため、認証されていないリモートの攻撃者がフィッシングを通じて特定のAPIを利用し、ユーザーのブラウザ上で任意のJavaScriptコードを実行できます。さらに、このアプリケーションが設定するウェブサーバーはNode.jsの機能をサポートしているため、攻撃者がOSコマンドの実行を行うことも可能です。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年12月16日0:00 |
| 登録日 | 2025年12月25日17:18 |
| 最終更新日 | 2025年12月25日17:18 |
| CVSS3.0 : 緊急 | |
| スコア | 9.6 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| Chunghwa Telecom Co., Ltd. |
| TenderDocTransfer 0.41.151 から 0.41.157 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年12月25日] 掲載 |
2025年12月25日17:18 |
| 概要 | TenderDocTransfer from Chunghwa Telecom has a Reflected Cross-site scripting vulnerability. The application sets up a simple local web server and provides APIs for communication with the target website. Due to the lack of CSRF protection for the APIs, unauthenticated remote attackers could use specific APIs through phishing to execute arbitrary JavaScript code in the user’s browser. Since the web server set by the application supports Node.Js features, attackers can further leverage this to run OS commands. |
|---|---|
| 公表日 | 2024年12月16日16:15 |
| 登録日 | 2024年12月17日4:01 |
| 最終更新日 | 2024年12月16日16:15 |