TVN-202601008 - 哈瑪星科技 MeetingHub 無紙化會議系統嚴重漏洞
基本資訊
- 來源: TWCERT/CC
- TVN 編號: TVN-202601008
- CVE 編號: CVE-2026-1330, CVE-2026-1331, CVE-2026-1332
- CVSS 評分: 9.8 (Critical)
- 發布日期: 2026-01-22
- 通報者: Alan Chung (DEVCORE)
漏洞描述
哈瑪星科技 MeetingHub 無紙化會議系統(需安裝簽到/簽退模組)存在 3 個嚴重漏洞:
CVE-2026-1330 (CVSS 7.5 - High)
Arbitrary File Read 漏洞,未經身分鑑別的遠端攻擊者可透過路徑遍歷技術下載系統檔案。
CVE-2026-1331 (CVSS 9.8 - Critical)
Arbitrary File Upload 漏洞,未經身分鑑別的攻擊者可上傳並執行網頁後門程式,達成遠端程式碼執行。
CVE-2026-1332 (CVSS 5.3 - Medium)
Missing Authentication 漏洞,未經身分鑑別的攻擊者可直接存取 API 功能以取得會議相關資訊。
受影響產品
- 廠商: 哈瑪星科技
- 產品: MeetingHub 無紙化會議系統
- 受影響版本: 需安裝簽到/簽退模組的所有版本
影響範圍
未經身分鑑別的遠端攻擊者可讀取敏感檔案、執行任意程式碼並取得完整系統控制權。
解決方案
安裝 20251210 或更新版本的修補程式。