中華資安國際發現國內 BPM 系統存在高風險弱點 (SQL Injection)

【風險等級】高度威脅

【影響範圍】BPM 系統 v6.6.19 

【細節描述】

系統某查詢功能未妥善對使用者輸入進行檢查或過濾，導致認證後的使用者可透過注入 SQL 指令，進而操控後端資料庫，如讀取、竄改或刪除資料。

中華資安國際建議採取以下防範措施：

1.使用者：聯繫廠商盡速討論修補建議。

2.系統開發商：避免直接將使用者輸入拼接進 SQL 查詢語法。應實作輸入驗證與參數化查詢（Parameterized Queries / Prepared Statements）以防止 SQL Injection 攻擊。

【發現人員】

  Sam Huang (CHT Security)