台灣智園｜Tronclass – Insecure Direct Object Reference

一、漏洞簡述

台灣智園開發之 Tronclass 被發現存在安全漏洞，請所有使用相關產品或負責維運的同仁務必注意：

CVE-2025-10719｜CVSS：4.3 (Medium)
Insecure Direct Object Reference (IDOR)：已取得一般權限之遠端攻擊者可修改特定參數以存取或下載其他使用者的檔案，造成資料外洩或隱私曝露風險。

---

二、設備／版本影響

Tronclass 1.74（含）以前版本

---

三、建議處置

• 將 Tronclass 更新至 1.77（含）以後版本。
• 若短期內無法立即更新，建議採取臨時緩解措施：限制檔案存取 API 的來源 IP、強化驗證與授權檢查、在應用層加入參數白名單或權限檢查、並加強日誌與異常存取監控。

---

四、相關連結

1. CVE-2025-10719