資安公告
首頁 > 服務 > 資安公告
育碁發布TVN-202501004、TVN-202501005、TVN-202501006、TVN-202501007漏洞因應修補資安公告
2025/01/20

漏洞說明

TVN ID 漏洞主旨

TVN-202501004/CVE-2025-0583

TVN-202501005/CVE-2025-0584

漏洞1育碁數位科技 a+HRD - Reflected Cross-site Scripting(XSS)

漏洞2:育碁數位科技 a+HRD - Server-Side Request Forgery (SSRF)

TVN-202501006/CVE-2025-0585

TVN-202501007/CVE-2025-0586

漏洞1育碁數位科技 aEnrich a+HRD - SQL Injection

漏洞2:育碁數位科技 aEnrich a+HRD - Insecure Deserialization
參考資訊:TWCERT/CC(台灣電腦網路危機處理暨協調中心)


影響產品
育碁數位科技 a+HRD 7.5及以下各版本

    解決方法
    各版本最低須更新至以下版號:
  • eHRD 7.5.1088V171
  • eHRD 7.4.1078V182
  • eHRD 7.3.1044V268
  • eHRD 7.2.1061V90
  • eHRD 7.1.1033V458
  • eHRD 7.0.1141V452
  • eHRD 6.8.1039V1094
    ▌客戶建議:
    針對以上第三方善意偵測所發現的漏洞,我們已針對a+HRD 6.8, 7.0~7.5各版本修正潛在風險。如往常,我們會逐一通知受影響的維護合約客戶,並對資安細節保密,以防止被進一步利用。目前大部份客戶已更新至所需的最低版號,各版本維護合約客戶因應方案如下:
  • eHRD 7.5.1088V171
  • eHRD 7.4.1078V182
  • eHRD 7.3.1044V268
  • eHRD 7.2.1061V90
  • eHRD 7.1.1033V458
  • eHRD 7.0.1141V452
  • 7.0~7.4客戶可選擇依約升級到7.5(高度建議)
  • 6.8版本:建議升級至6.8.1039V1094 以上版本
  • 無維護合約(MA)客戶,若有持續使用系統,建議儘早與育碁客服單位主管聯繫,可採用無MA維護客戶的付費服務機制,執行相關程式更新。請洽以下連絡資訊:
    ・電話:02-25178080分機327
    ・E-mail:aEnrichService@aEnrich.com.tw

*註:育碁工程與客戶服務資源,一直以來皆是以處理有MA(Maintenance Agreement)維護合約客戶的服務案例為優先!無MA維護合約的客戶將採用無MA維護客戶的付費服務機制,處理時效可能無法完全滿足及符合您的需求,還請客戶包涵見諒!

育碁秉持敏捷服務與透明公開的原則,在外部資安相關組織資訊揭露的同時將通知維護合約中客戶的關係人,同時於官網資安公告區公告解決對策,並且準備好提供諮詢與行動對策;若育碁維護中客戶須要進一步確認,請隨時與您的專屬服務窗口聯繫。