【資安漏洞預警】中興保全Dr.ID 門禁考勤系統存在安全漏洞

主旨：【資安漏洞預警】中興保全Dr.ID 門禁考勤系統存在安全漏洞，煩請儘速確認並進行更新

• 內容說明：
  • 轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-ANA-202002-0002
    
  1. 中興保全Dr.ID 門禁考勤系統 - Pre-auth SQL Injection漏洞
     
     • 影響產品：門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517
       
     • CVSS3.1：9.8(Critical(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
       
     • 連結：https://tvn.twcert.org.tw/taiwanvn/TVN-201910016
       
     • TVN ID：TVN-201910017
       
     • CVE ID：CVE-2020-3933
       
  2. 中興保全Dr.ID 門禁考勤系統 - 帳號列舉漏洞
     
     • 影響產品：門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517
       
     • CVSS3.1：5.3(Medium) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
       
     • 連結：https://tvn.twcert.org.tw/taiwanvn/TVN-201910017
       
     • TVN ID：TVN-201910018
       
     • CVE ID：CVE-2020-3935
       
  3. 中興保全Dr.ID 門禁考勤系統 - 明文儲存密碼
     
     • 影響產品：門禁 Ver 3.3.2 考勤 Ver 3.3.0.3_20160517
       
     • CVSS3.1：7.5(High) (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
       
     • 連結：https://tvn.twcert.org.tw/taiwanvn/TVN-201910018
       
• 影響平台:
  
  • 中興保全Dr.ID 門禁考勤系統之門禁 Ver 3.3.2
    
  • 考勤 Ver 3.3.0.3_20160517
    
• 建議措施:
  
  • 請檢視相關產品之版本，並更新到最新版。

計算機與通訊中心
網路系統組 敬啟