|
緣由
針對客戶關切近期揭露之 ASP.NET Core 資安漏洞事件,Microsoft 已公告 Microsoft.AspNetCore.DataProtection 套件 10.0.0 至 10.0.6 版本存在重大安全性漏洞(CVE-2026-40372)。該漏洞源於加密簽章驗證機制異常,可能導致驗證保護失效,使未經授權之遠端攻擊者於特定條件下進行權限提升(Elevation of Privilege),甚至偽造驗證 Cookie、存取受保護資料或取得高權限系統控制能力。微軟已將此漏洞列為高風險等級(CVSS 9.1),並緊急發布 10.0.7 安全更新版本。公開資訊亦顯示,漏洞揭露後已出現實際攻擊與利用研究,因此建議相關系統應儘速完成版本盤點、修補與風險控管作業。
為了確保客戶的資訊安全,在接獲客戶詢問的第一時間,我們已完成內部確認:育碁 a+HCM / a+HRD 全系列維護中產品並未使用 ASP.NET Core DataProtection 套件,客戶可以安心使用!
同時,為方便育碁客戶內部溝通,特此公告。育碁秉持“敏捷、透明、整合、資安”運營理念;資訊公開透明,除了提升內外溝通效率外,更讓客戶放心使用 a+HCM 全系列產品。
諮詢資訊
如果您對此有任何問題或需求,請隨時與您的育碁專案服務窗口聯繫,我們將竭誠儘速為您提供服務。
|
