[內容說明:]
轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-ANA-202301-0004

- 驊鉅數位Easy Test 存在漏洞(CVE-2022-43436)，檔案上傳未過濾特殊字元與驗證檔案類型，遠端攻擊者以一般使用者權限登入後，即可上傳並執行任意類型的檔案，對系統進行任意操作或中斷服務。
- 驊鉅數位Easy Test 存在漏洞(CVE-2022-43437)，檔案下載未對使用者輸入進行驗證，遠端攻擊者以一般使用者權限登入後，即可注入任意SQL語法讀取、修改及刪除資料庫。
- 驊鉅數位Easy Test 存在漏洞(CVE-2022-43438)，遠端攻擊者以一般使用者權限登入後，即可透過此漏洞繞過權限驗證，存取API，任意操作系統並終止服務。

[影響平台:]
驊鉅數位Easy Test ver.17L18S~ver.22H29

[建議措施:]
更新Easy Test版本至v.22I26

[參考資料:]
1. https://www.twcert.org.tw/tw/cp-132-6828-1e5e4-1.html
2. https://www.twcert.org.tw/tw/cp-132-6829-11133-1.html
3. https://www.twcert.org.tw/tw/cp-132-6830-28746-1.html