发布日期：2024-09-23
更新日期：2024-11-22

受影响系统：

Entrust Instant Financial Issuance <= 6.8.x
Entrust Instant Financial Issuance 6.9.2
Entrust Instant Financial Issuance 6.9.1
Entrust Instant Financial Issuance 6.9.0
Entrust Instant Financial Issuance 6.10.0

描述：

---

CVE(CAN) ID: CVE-2024-39341

Entrust Instant Financial Issuance（Entrust Cardwizard）是美国Entrust公司的一个即时金融卡发行解决方案。
Entrust Instant Financial Issuance 6.10.0版本、6.9.0版本、6.9.1版本、6.9.2版本、6.8.x及之前版本存在身份认证绕过漏洞，程序在安装完成后还保留了配置文件，攻击者可利用该漏洞通过猜测正确的IIS webroot路径访问HTTP端口80上的文件，进而获取配置参数名称和加密的敏感值。

<**>

建议：

---

厂商补丁：

Entrust
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://trustedcare.entrust.com/login

浏览次数：70
严重程度：0（网友投票）