百加資通EIP Plus存在高風險安全漏洞

一、漏洞簡述

研究人員發現 百加資通 EIP Plus 存在 2 項高風險安全漏洞（CVE-2025-12866 與 CVE-2025-12867）。

• CVE-2025-12866（Weak Password Recovery Mechanism）：未經身分鑑別之遠端攻擊者可預測或暴力破解忘記密碼連結，進而修改任意使用者密碼。

• CVE-2025-12867（Arbitrary File Upload）：已取得管理權限之遠端攻擊者可上傳並執行 Webshell，進而於伺服器端執行任意程式碼。

此兩項弱點皆屬高風險，建議儘速更新。

---

二、設備／版本影響

受影響產品：

• EIP Plus RELEASE_240626（不含）以前版本

---

三、建議處置

更新至RELEASE_240626(含)以後版本

---

四、相關連結

參考資料：

1. https://nvd.nist.gov/vuln/detail/CVE-2025-12866

2. https://nvd.nist.gov/vuln/detail/CVE-2025-12867