在 TWCERT/CC(台湾计算机应急响应小组/协调中心)最近发布的漏洞说明中,Team+(由 TEAMPLUS TECHNOLOGY 开发的一款流行的安全通信和协作平台)被发现存在三个重大安全漏洞。如果这些漏洞未得到修补,攻击者就可以在未经授权的情况下访问敏感数据、篡改文件和利用后端系统。鉴于这些漏洞的严重性,依赖 Team+ 的企业必须迅速采取行动,确保它们受到保护。
Team+以其安全、基于私有云的结构和强大的功能(如即时消息和视频会议)而闻名,已成为企业寻求简化通信和协作的主要工具。
SQL 注入为数据库混乱敞开大门(CVE-2024-9921)
最严重的漏洞被认定为 CVE-2024-9921,关键 CVSS 得分为 9.8,允许未经身份验证的攻击者注入恶意 SQL 命令。由于对特定页面参数的验证不当,未经身份验证的攻击者可注入任意 SQL 命令。这意味着恶意行为者可以读取、修改或删除数据库内容。利用此漏洞可能导致未经授权访问敏感的公司数据,包括机密通信、用户凭证和存储在平台中的文件。
路径遍历漏洞暴露系统文件(CVE-2024-9922 和 CVE-2024-9923)
还有两个漏洞(CVE-2024-9922 和 CVE-2024-9923)利用了路径遍历弱点。CVE-2024-9922 (CVSS 7.5) 允许未经认证的攻击者读取任意系统文件,从而可能暴露机密配置或敏感系统信息。CVE-2024-9923 (CVSS 4.9)需要管理员权限,攻击者可将任意系统文件移动到网站根目录,使外部可以访问这些文件。
需要采取紧急行动: 更新至 v14.0.0 或更高版本
TEAMPLUS TECHNOLOGY 已在 14.0.0 或更高版本中解决了这些漏洞。TWCERT/CC 强烈呼吁所有运行 13.5.x 版本的 Team+ 用户立即更新其系统,以降低这些重要的安全风险。