本週臺灣電腦網路危機處理暨協調中心（TWCERT/CC）發布資安公告，指出互動資通旗下的企業協作平臺Team+存在3項漏洞CVE-2024-9921、CVE-2024-9922、CVE-2024-9923，影響13.5.x版Team+，呼籲使用者要升級至14.0.0版緩解相關資安風險。

根據CVSS風險評分，最嚴重的是SQL注入漏洞CVE-2024-9921，起因是此協作平臺尚未妥善驗證特定網頁參數，導致未經身分驗證的攻擊者有機會遠端注入任意SQL指令，從而讀取、修改、刪除資料庫內容，CVSS風險評為9.8分。

其餘2個漏洞CVE-2024-9922、CVE-2024-9923，皆為路徑穿越漏洞，當中危險程度較高的是CVE-2024-9922，攻擊者可在未通過身分驗證的情況下，用來讀取任意檔案，CVSS風險評為7.5；另一個漏洞CVE-2024-9923，則能用來搬移檔案，攻擊者必須事先得到管理員權限，才能遠端將任意檔案移動到網站根目錄並進行存取，CVSS評分為4.9。

我們也向互動資通進行確認，該公司表示在發現後已儘速完成修復，並於2個月前提供新版程式給客戶使用。