美國教育部在7月17日指出,專供高等教育使用的企業資源規畫(ERP)系統Ellucian Banner含有一安全漏洞,允許駭客取得用戶的Session ID,已傳出有62所大專院校遭到駭客入侵。
此一漏洞編號為CVE-2019-8978,它藏匿在可客製化網頁應用的Ellucian Banner Web Tailor模組中,以及用戶帳號管理模組Ellucian Banner Enterprise Identity Services。根據美國國家標準與技術研究院(NIST)的說明,該漏洞允許駭客不斷以受害者UDCID(Unique Device ID)的IDMSESSID cookie送出請求予Web Tailor首頁,造成競賽情況,使得系統發布受害者的Session ID予駭客。
上述資料來源 iThome Online