漏洞說明
- TVN ID:TVN-202203008
- CVE ID:CVE-2022-26675
- 漏洞主旨:育碁數位科技 a+HRD - Path Traversal
- 問題描述:aEnrich a+HRD某單一特定URL存在Path Traversal漏洞,遠端攻擊者可利用此漏洞繞過身分認證機制,查看根目錄下已知檔名的檔案內容。
- TVN ID:TVN-202203009
- CVE ID:CVE-2022-26676
- 漏洞主旨:育碁數位科技 a+HRD - Broken Access Control
- 問題描述:aEnrich a+HRD某特定URL未進行適當的權限控管,遠端攻擊者可繞過身分認證機制使用系統之API功能上傳並執行惡意腳本,藉以控制系統或中斷服務。
- 影響產品:育碁數位科技 a+HRD version 6.8
- 解決方法:更新版本至eHRD6.8.1039V768
▌客戶建議:
針對以上第三方善意偵測所發現的漏洞,我們已針對 eHRD6.8.1039V768 修正潛在風險。如往常,我們會逐一通知受影響的維護合約客戶,並對資安細節保密,以防止被進一步利用。育碁秉持敏捷服務的原則,已協助大部分在MA維護保固期間的客戶升級到eHRD6.8.1037V779以上版本, 並在資訊揭露的同時第一時間通告關係人以及於官網公告解決對策, 並準備好提供諮詢與行動對策。若育碁維護中客戶須要進一步確認,請隨時與您的專屬服務窗口聯繫。
建議無MA客戶儘早與育碁客服單位主管聯繫,可採用無MA維護客戶的單次付費服務,執行相關程式更新。請洽以下連絡資訊:
*註:育碁工程與客戶服務資源,一直以來皆是以處理有MA(Maintenance Agreement)維護合約的客戶為優先,若無MA維護合約的客戶單次付費服務,處理時效無法滿足需求時,還請客戶包涵見諒!
|