漏洞說明

• TVN ID：TVN-202203008
• CVE ID：CVE-2022-26675
• 漏洞主旨：育碁數位科技 a+HRD - Path Traversal
• 問題描述：aEnrich a+HRD某單一特定URL存在Path Traversal漏洞，遠端攻擊者可利用此漏洞繞過身分認證機制，查看根目錄下已知檔名的檔案內容。

• TVN ID：TVN-202203009
• CVE ID：CVE-2022-26676
• 漏洞主旨：育碁數位科技 a+HRD - Broken Access Control
• 問題描述：aEnrich a+HRD某特定URL未進行適當的權限控管，遠端攻擊者可繞過身分認證機制使用系統之API功能上傳並執行惡意腳本，藉以控制系統或中斷服務。

• 影響產品：育碁數位科技 a+HRD version 6.8
• 解決方法：更新版本至eHRD6.8.1039V768

• 參考資訊：TWCERT/CC（台灣電腦網路危機處理暨協調中心）

▌客戶建議：

針對以上善意第三方偵測提醒的漏洞，育碁已於eHRD6.8.1039V768修正其潛在風險，育碁秉持敏捷服務的原則，已協助大部分在MA維護保固期間的客戶升級到eHRD6.8.1037V779以上版本, 並在資訊揭露的同時第一時間通告關係人以及於官網公告解決對策, 並準備好提供諮詢與行動對策。若育碁維護中客戶須要進一步確認，請隨時與您的專屬服務窗口聯繫。

建議無MA客戶儘早與育碁客服單位主管聯繫，可採用無MA維護客戶的單次付費服務，執行相關程式更新。請洽以下連絡資訊：

• 電話：02-25178080分機327
• E-mail：aEnrichService@aEnrich.com.tw

*註：育碁工程與客戶服務資源，一直以來皆是以處理有MA(Maintenance Agreement)維護合約的客戶為優先，若無MA維護合約的客戶單次付費服務，處理時效無法滿足需求時，還請客戶包涵見諒！