TVN-202601001 - 廣達電腦 QOCA aim AI 醫療雲平台多重漏洞
基本資訊
- 來源: TWCERT/CC
- TVN 編號: TVN-202601001
- CVE 編號: CVE-2025-15235, CVE-2025-15236, CVE-2025-15237, CVE-2025-15238, CVE-2025-15239, CVE-2025-15240
- CVSS 評分: 8.8 (High)
- 發布日期: 2026-01-05
漏洞描述
廣達電腦 QOCA aim AI 醫療雲平台 v2.7.5(含)以前版本存在 6 個安全漏洞:
CVE-2025-15235 (CVSS 6.5 - Medium)
未授權存取漏洞,已驗證攻擊者可查看其他使用者的檔案。
CVE-2025-15236 (CVSS 4.3 - Medium)
路徑遍歷漏洞,允許列舉目錄結構。
CVE-2025-15237 (CVSS 4.3 - Medium)
路徑遍歷漏洞,允許列舉目錄結構。
CVE-2025-15238 (CVSS 6.5 - Medium)
SQL 注入漏洞,允許提取資料庫內容。
CVE-2025-15239 (CVSS 6.5 - Medium)
SQL 注入漏洞,允許提取資料庫內容。
CVE-2025-15240 (CVSS 8.8 - High)
任意檔案上傳漏洞,可上傳網頁後門達成遠端程式碼執行。
受影響產品
- 廠商: 廣達電腦
- 產品: QOCA aim AI 醫療雲平台
- 受影響版本: v2.7.5(含)以前版本
影響範圍
已驗證身分的遠端攻擊者可利用這些漏洞破壞機密性、存取未授權資料,並在伺服器上執行任意指令。
解決方案
更新至 v2.7.6(含)或更新版本。