中華資安國際發現國內知名公文系統具有一項漏洞

中華資安國際Red Team團隊發現，國內知名公文系統具有一項漏洞，包含任意檔案上傳弱點，影響範圍遍及公家機關及國內企業。

【風險等級】高度威脅

【影響範圍】v5.0及之前的版本

【細節描述】

1. CVE-2025-11948 :攻擊者在未登入情況下，可透過特定封包來上傳任意檔案，達到遠端程式碼執行，此漏洞可歸類於CWE-434: Unrestricted Upload of File with Dangerous Type類型中。開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此部落格系統，建議儘快聯繫廠商進行修補更新。

中華資安國際建議採取以下防範措施：

1. 使用者：儘速將相關程式碼搬移至仍在維護的專案。
2. 系統開發商：在程式開發過程中應針對輸入參數做檢查。
3. 系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。