TVN-202601010 - 葳橋資訊單一簽入暨電子目錄服務系統多重漏洞
基本資訊
- 來源: TWCERT/CC
- TVN 編號: TVN-202601010
- CVE 編號: CVE-2026-1427, CVE-2026-1428, CVE-2026-1429
- CVSS 評分: 8.8 (High)
- 發布日期: 2026-01-26
- 通報者: YuCheng Lin (CHT Security)
漏洞描述
葳橋資訊單一簽入暨電子目錄服務系統(V4)IFTOP_P4_181 之前版本存在 3 個安全漏洞:
CVE-2026-1427 (CVSS 8.8 - High)
OS Command Injection 漏洞,已通過身分鑑別的遠端攻擊者可注入任意作業系統指令並於伺服器上執行。
CVE-2026-1428 (CVSS 8.8 - High)
OS Command Injection 漏洞,已通過身分鑑別的遠端攻擊者可注入任意作業系統指令並於伺服器上執行。
CVE-2026-1429 (CVSS 5.4 - Medium)
Reflected Cross-Site Scripting 漏洞,已通過身分鑑別的攻擊者可透過釣魚攻擊於使用者端瀏覽器執行任意 JavaScript 程式碼。
受影響產品
- 廠商: 葳橋資訊
- 產品: 單一簽入暨電子目錄服務系統(V4)
- 受影響版本: IFTOP_P4_181 之前的所有版本
影響範圍
已驗證身分的遠端攻擊者可完全控制系統,執行任意指令或透過 XSS 攻擊竊取使用者憑證。
解決方案
更新電子目錄服務系統(V4)至 IFTOP_P4_181 或更新版本。