一、漏洞簡述
凱發科技 WebITR 被發現存在 6 個安全漏洞,請所有使用相關產品或負責維運的同仁務必注意:
CVE-2025-9254|CVSS:9.8 (Critical)
Missing Authentication 漏洞,未經身分鑑別的遠端攻擊者可利用特定功能以任意使用者身分登入系統。
CVE-2025-9255|CVSS:7.5 (High)
SQL Injection 漏洞,未經身分鑑別的遠端攻擊者可注入任意 SQL 指令讀取資料庫內容。
CVE-2025-9256|CVSS:6.5 (Medium)
CVE-2025-9257|CVSS:6.5 (Medium)
CVE-2025-9258|CVSS:6.5 (Medium)
CVE-2025-9259|CVSS:6.5 (Medium)
以上四個為 Arbitrary File Reading 漏洞,已取得一般權限的遠端攻擊者可利用 Absolute Path Traversal 下載任意系統檔案。
二、設備/版本影響
WebITR 2_1_0_32(含)以前版本
三、建議處置
更新至 WebITR 2_1_0_33(含)以後版本