V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd

Cht

Уязвимости
4
Эксплуатируемые
0
Критический
1
Высокий
3

Топ продуктов

Топ уязвимостей

CVE-2024-12641TenderDocTransfer от Chunghwa Telecom имеет уязвимость, связанную с отраженным межсайтовым скриптингом. Приложение настраивает простой локальный веб-сервер и предоставляет API для связи с целевым веб-сайтом. Из-за отсутствия защиты CSRF для API неаутентифицированные удаленные злоумышленники могут использовать определенные API посредством фишинга для выполнения произвольного кода JavaScript в браузере пользователя. Поскольку веб-сервер, настроенный приложением, поддерживает функции Node.Js, злоумышленники могут дополнительно использовать это для выполнения команд ОС.
CVE-2024-12642TenderDocTransfer от Chunghwa Telecom имеет уязвимость произвольной записи файлов. Приложение настраивает простой локальный веб-сервер и предоставляет API для связи с целевым веб-сайтом. Из-за отсутствия защиты CSRF для API неаутентифицированные удаленные злоумышленники могут использовать эти API посредством фишинга. Кроме того, один из API содержит уязвимость обхода относительного пути, позволяющую злоумышленникам записывать произвольные файлы в любой путь в системе пользователя.
CVE-2025-13283TenderDocTransfer, разработанный Chunghwa Telecom, имеет уязвимость произвольного копирования файлов и Paste. Приложение устанавливает простой локальный веб-сервер и предоставляет API для связи с целевым сайтом. Из-за отсутствия защиты CSRF в API, неаутентифицированные удаленные злоумышленники могли использовать эти API с помощью фишинга. Кроме того, один из API содержит уязвимость Absolute Path Traversal. Злоумышленники могут копировать произвольные файлы в системе пользователя и вставить их в любой путь, что создает потенциальный риск утечки информации или может потреблять пространство на жестком диске, копируя файлы в больших объемах.
CVE-2025-13282TenderDocTransfer, разработанный Chunghwa Telecom, имеет уязвимость «Произвольное удаление файлов». Приложение устанавливает простой локальный веб-сервер и предоставляет API для связи с целевым сайтом. Из-за отсутствия защиты CSRF в API, неаутентифицированные удаленные злоумышленники могли использовать эти API с помощью фишинга. Кроме того, один из API содержит уязвимость Absolute Path Traversal, позволяющую злоумышленникам удалять произвольные файлы в системе пользователя.
Открыть в каталоге с фильтром по вендору →