企业协作平台Team+修补重大漏洞，用户需尽快更新

本周台湾计算机网络危机处理暨协调中心（TWCERT/CC）发布安全公告，指出互动资通旗下的企业协作平台Team+存在3项漏洞CVE-2024-9921、CVE-2024-9922、CVE-2024-9923，影响13.5.x版Team+，呼吁用户要升级至14.0.0版缓解相关安全风险。

根据CVSS风险评分，最严重的是SQL注入漏洞CVE-2024-9921，起因是此协作平台尚未妥善验证特定网页参数，导致未经身份验证的攻击者有机会远程注入任意SQL指令，从而读取、修改、删除数据库内容，CVSS风险评为9.8分。

其余2个漏洞CVE-2024-9922、CVE-2024-9923，皆为路径穿越漏洞，其中危险程度较高的是CVE-2024-9922，攻击者可在未通过身份验证的情况下，用来读取任意文件，CVSS风险评为7.5；另一个漏洞CVE-2024-9923，则能用来搬移文件，攻击者必须事先得到管理员权限，才能远程将任意文件移动到网站根目录并进行访问，CVSS评分为4.9。

我们也向互动资通进行确认，该公司表示在发现后已尽快完成修复，并于2个月前提供新版程序给客户使用。