博格資訊管理顧問開發之 ERP App 存在 CVE-2026-14807 漏洞,類型為 Use of Hard-coded Credentials,CVSS 分數高達 9.8(Critical)。未經身分鑑別的遠端攻擊者可透過檢視程式碼直接取得資料庫帳號與通行碼,導致嚴重資料洩漏與系統失控風險。目前唯一解決方式為聯繫廠商進行修補,用戶應立即停止使用並啟動緊急應變機制。
PROG MIS 所開發的 ERP App 應用程式被發現存在一項高風險資安漏洞,其 CVE 編號為 CVE-2026-14807,漏洞類型定名為 Use of Hard-coded Credentials(使用硬編碼憑證)[1][5]。根據台灣電腦網路危機處理暨協調中心(TWCERT)發布的正式公告,該漏洞允許未經任何身分鑑別的遠端攻擊者,直接從應用程式程式碼中讀取並取得資料庫的帳號與通行碼 [1][3]。
此漏洞的 CVSS 3.1 分數高達 9.8,評級為 Critical(嚴重),其評分向量為 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,意謂攻擊者可透過網路(AV:N)在無需權限(PR:N)、無需使用者互動(UI:N)的情況下,以極低難度(AC:L)完成攻擊,並造成完整的身分洩漏(C:H)、資料篡改(I:H)與系統癱瘓(A:H)影響 [1]。目前廠商尚未提供公開的修補版本,官方建議措施僅為「聯繫廠商進行修補」[1]。
Use of Hard-coded Credentials 是一種常見但極具破壞性的安全編碼缺陷。其核心問題在於開發者將敏感資訊(如資料庫帳號、密碼、API Key)直接寫入應用程式的源碼或配置文件內,且這些憑證通常為預設值且無法被使用者修改 [3]。在 PROG MIS ERP App 的案例中,攻擊者無需透過複雜的滲透測試或 SQL 注入,仅需透過基本的程式碼反編譯、靜態分析或檢視隨附的配置文件,即可直接提取出資料庫的登入憑證 [1][5]。
一旦攻擊者取得資料庫帳號與通行碼,將能繞過應用程式層的權限控制,直接連線至後端資料庫。這意味著攻擊者可執行任意 SQL 指令,讀取、修改或刪除所有敏感資料,甚至利用資料庫的高權限帳號進一步入侵內部網路 [3]。由於此漏洞不涉及複雜的邏輯漏洞,攻擊門檻極低,任何具備基礎資安知識的威脅行為者均可輕易利用,使其成為駭客完美的攻擊目標 [3]。
從安全編碼規範的角度來看,此漏洞違反了「禁止在程式碼中寫入任何敏感資訊」的基本原則 [3]。正確的做法應是使用環境變數(Environment Variables)、專屬配置文件(Configuration Files)或集中化的憑證管理系統(如 Vault)來儲存與讀取敏感資訊,並實施憑證動態輪轉機制,以限制憑證被竊取後的損害範圍 [3]。
受此漏洞影響的產品明確為 PROG MIS 開發之 ERP App [1][5]。由於 ERP 系統通常承載企業核心的財務、採購、人資與生產數據,一旦資料庫憑證外洩,將導致極嚴重的商業損失與法律責任。目前多項教育機構與區域網路中心已轉發此預警,顯示該系統可能廣泛應用於教育單位 [1]。
影響的嚴重性涵蓋完整性、可用性与保密性三個面向:
值得注意的是,此漏洞與博格資訊管理顧問其他產品(如「博格管理系統」的 Exposure of Sensitive Information 漏洞,CVE-2026-14808)不同,但同樣反映出相關廠商在安全編碼與憑證管理上可能存在系統性缺陷 [1][3]。
鑑於 CVSS 分數達 9.8 且攻擊者無需身分鑑別即可利用,組織應立即採取以下防護措施:
參考資料