中華資安國際發現國內知名線上學習系統具有兩項漏洞

中華資安國際Red Team團隊發現，國內知名線上學習系統具有兩項漏洞，包含兩個繞過驗證的弱點，影響範圍遍及國內企業。

【風險等級】高度威脅

【影響範圍】6.8.1039V1144.1045及之前的版本

【細節描述】

1. CVE-2025-12870:攻擊者在未登入情況下，可透過特定封包以任意使用者登入，此漏洞可歸類於CWE-287: Improper Authentication類型中。
2. CVE-2025-12871:攻擊者在未登入情況下，可透過特定參數來存取任意API，此漏洞可歸類於CWE-287: Improper Authentication類型中。

開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此部落格系統，建議儘快聯繫廠商進行修補更新。

中華資安國際建議採取以下防範措施：

1. 使用者：儘速將相關程式碼搬移至仍在維護的專案。
2. 系統開發商：在程式開發過程中應針對輸入參數做檢查。
3. 系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。