中華資安國際發現國內 BPM 系統存在高風險弱點 (敏感資訊洩漏)

【風險等級】高度威脅 

【影響範圍】BPM 系統 v6.6.19   

【細節描述】 

CVE-2925-11949:系統 API 未妥善驗證使用者權限，導致攻擊者可在未授權情況取得系統帳號密碼資訊重 要資料，嚴重危害系統資訊安全。(CWE-200: Exposure of Sensitive Information to an Unauthorized Actor) 

中華資安國際建議採取以下防範措施： 

1.使用者：聯繫廠商盡速討論修補建議。 

2.系統開發商：API 應妥善驗證使用者權限。

【發現人員】 Sam Huang (CHT Security)