概述

CVE-2025-12870是aEnrich公司开发的a+HRD系统中存在的认证滥用漏洞，允许未经身份验证的远程攻击者发送特制数据包获取管理员访问令牌，并使用这些令牌以提升的权限访问系统。

漏洞详情

漏洞描述

aEnrich开发的a+HRD系统存在认证滥用漏洞，允许未经身份验证的远程攻击者发送特制数据包获取管理员访问令牌，并使用这些令牌以提升的权限访问系统。

基本信息

• 发布日期：2025年11月12日上午8:15
• 最后修改：2025年11月12日上午8:15
• 远程利用：是
• 信息来源：twcert@cert.org.tw

CVSS评分

CVSS 3.1

• 评分：9.8
• 严重性：严重
• 向量：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 4.0

• 评分：9.3
• 严重性：严重

解决方案

• 应用供应商补丁以解决认证绕过和未经授权访问问题
• 将a+HRD软件更新到最新版本
• 应用aEnrich提供的所有相关安全补丁
• 审查访问控制和审计日志
• 禁用不必要的服务

相关资源

咨询链接

• https://www.twcert.org.tw/en/cp-139-10487-12a32-2.html
• https://www.twcert.org.tw/tw/cp-132-10486-a3459-1.html

CWE关联

• CWE-1390：弱认证

漏洞时间线

• 2025年11月12日：twcert@cert.org.tw收到新CVE报告
• 添加了漏洞描述、CVSS评分、CWE分类和相关参考链接

受影响产品

目前尚未记录受影响的具体产品信息：

• 受影响供应商总数：0
• 受影响产品数：0