新人類資訊科技|NUP Portal – 存在2個漏洞

一、漏洞簡述

新人類資訊科技 NUP Portal 被發現存在 2 個安全漏洞,請所有使用相關產品或負責維運的同仁務必注意:

CVE-2025-10266|CVSS:9.8 (Critical)
SQL Injection 漏洞,未經身分鑑別的遠端攻擊者可注入任意 SQL 指令,進而讀取、修改及刪除資料庫內容。

CVE-2025-10267|CVSS:5.3 (Medium)
未經身分鑑別的遠端攻擊者可直接使用上傳功能上傳檔案,若能繞過附檔名限制,將可上傳 WebShell 並於伺服器端執行。

二、影響產品

NUP Portal SP5.0(含)以前版本

三、建議處置

更新至 NUP Portal SP5.1(含)以後版本

四、相關連結

  1. CVE-2025-10266
  2. CVE-2025-10267