博格資訊管理顧問之博格管理系統被揭露存在兩項嚴重漏洞:CVE-2026-14808(敏感資訊洩露,CVSS 9.8)與 CVE-2026-14809(SQL 注入,CVSS 7.5)。未經身分鑑別之遠端攻擊者可透過瀏覽特定頁面取得資料庫帳號與通行碼,或注入任意 SQL 指令讀取資料庫內容。TWCERT 於 2026-07-06 發布 TVN-202607002 公告,建議立即聯繫廠商修補,並優先防護對外服務環境。
博格管理系統近期被發現存在兩項高風險資安漏洞,分別為 CVE-2026-14808 與 CVE-2026-14809。台灣電腦網路危機處理暨協調中心(TWCERT)於 2026 年 7 月 6 日發布 TVN 公告(TVN ID: TVN-202607002),正式揭露此項威脅[1]。其中,CVE-2026-14808 屬於「敏感資訊洩露」(Exposure of Sensitive Information),其 CVSS 3.1 分數高達 9.8,被評定為 Critical 等級;而 CVE-2026-14809 則為「SQL 注入」(SQL Injection),CVSS 分數為 7.5,屬於 High 等級[1]。兩項漏洞皆允許未經身分鑑別之遠端攻擊者直接利用,無需任何登入權限即可發動攻擊[1]。
CVE-2026-14808 的攻擊路徑極為簡便:攻擊者只需瀏覽系統中的特定頁面,即可直接取得資料庫的帳號與通行碼[1]。此漏洞根源於系統未對敏感資訊頁面實施適當的身分鑑別與存取控制,導致資料庫憑證以明文或可讀形式暴露於網頁端。
CVE-2026-14809 則涉及典型的 SQL 注入缺陷。攻擊者可透過注入任意 SQL 指令,繞過系統驗證機制並直接讀取資料庫內容[1]。由於攻擊者無需身分鑑別,任何能接觸到系統入口的遠端使用者皆可發動此攻擊,風險極高[1]。
目前受影響產品明確為 博格管理系統,公告未提及具體版本號[1]。
針對此兩項漏洞,TWCERT 明確建議 聯繫廠商進行修補,目前尚未提供暫行緩解方案以外的官方更新包[1]。