中華資安國際發現國內知名協同作業平台具有兩項漏洞

中華資安國際Red Team團隊發現，國內知名協同作業平台具有兩項漏洞，包含任意重設密碼、執行任意PHP程式碼的弱點，影響範圍遍及國內企業。 

【風險等級】高度威脅

【影響範圍】未知

【細節描述】

1. CVE-2025-12866:攻擊者在未登入情況下，在送出重設密碼的請求後，可透過特定封包取得重設密碼的連結，此漏洞可歸類於CWE-640: Weak Password Recovery Mechanism for Forgotten Password類型中。
2. CVE-2025-12867:攻擊者在取得管理者身份情況下，可透過特定封包來執行任意PHP程式碼，此漏洞可歸類於CWE-94: Improper Control of Generation of Code ('Code Injection')類型中。

開發廠商接獲通報後已配合儘速釋出相關更新，若機關或企業有使用此部落格系統，建議儘快聯繫廠商進行修補更新。

中華資安國際建議採取以下防範措施：

1. 使用者：儘速將相關程式碼搬移至仍在維護的專案。
2. 系統開發商：在程式開發過程中應針對輸入參數做檢查。
3. 系統開發商：建議導入安全程式開發流程（SSDLC）、事前進行安全程式碼開發教育訓練，並定期執行源碼檢測及滲透測試等安全檢測，才能有效地確保產品及用戶安全。