摘要:TWCERT/CC 台灣漏洞揭露平台(TVN)發布 研華科技|Hospital Queuing Management - 存在2個漏洞。這類公告特別值得台灣企業與維運團隊關注,因為它通常涉及在地廠商、台灣常見系統或本地產品供應鏈。本文整理公告中的 CVE、CVSS、影響產品與修補建議,並補充防禦面應該優先檢查的項目。
漏洞重點
- 公告來源:TWCERT/CC TVN
- 廠商:研華科技
- 產品:Hospital Queuing Management
- 最高 CVSS:9.8
- 風險等級:Critical
- 發布時間:2026-06-30
CVE 清單
- CVE-2026-14161
- CVE-2026-14162
影響產品
Hospital Queuing Management(HQM) ISO 1.2.13(不含)以前版本
漏洞說明
【CVE-2026-14161(Sensitive Data Exposure)】 未經身分鑑別之遠端攻擊者可訪問特定URL取得API文件。 【CVE-2026-14162(Missing Authentication)】 未經身分鑑別之遠端攻擊者可利用API取得機敏資訊或新增網站管理員帳號。
本站分析
從防禦角度來看,TVN 公告的價值在於它能補足國際 CVE 資料庫較少涵蓋的台灣在地產品風險。若組織內部有使用 Hospital Queuing Management,建議不要只依賴例行弱掃,而是直接比對產品版本、部署位置與是否對外開放。若最高 CVSS 達 High 或 Critical,且攻擊條件包含遠端、未授權或低權限觸發,就應優先納入修補排程。
修補與緩解建議
請更新HQM ISO至 1.2.13(含)以後版本或更新QueueHttp.dll至1.2.12.7(含)以後版本
- 盤點是否使用受影響產品與版本,包含測試、備援與舊系統。
- 若系統對外開放,先限制管理介面來源或放到 VPN / Zero Trust 後方。
- 依照廠商建議更新版本或套用修補檔。
- 修補前後檢查登入紀錄、管理操作、異常 API 存取與新增帳號。
- 將 CVE 與產品名稱加入弱點管理與 SIEM 查詢條件,追蹤是否有利用跡象。
參考來源
- TWCERT/CC TVN 原始公告
- https://nvd.nist.gov/vuln/detail/CVE-2026-14161
- https://nvd.nist.gov/vuln/detail/CVE-2026-14162
本文由 LonelySec 自動化情報流程整理 TWCERT/CC TVN 公告後產生,重點在於彙整影響範圍、風險判讀與防禦建議,並保留官方來源供讀者查證。










