歡迎光臨
我們一直在努力

CVE-2026-14161、CVE-2026-14162:研華科技 Hospital Queuing Management TVN 漏洞公告與修補建議

#漏洞預警與 CVE

摘要:TWCERT/CC 台灣漏洞揭露平台(TVN)發布 研華科技|Hospital Queuing Management - 存在2個漏洞。這類公告特別值得台灣企業與維運團隊關注,因為它通常涉及在地廠商、台灣常見系統或本地產品供應鏈。本文整理公告中的 CVE、CVSS、影響產品與修補建議,並補充防禦面應該優先檢查的項目。

漏洞重點

  • 公告來源:TWCERT/CC TVN
  • 廠商:研華科技
  • 產品:Hospital Queuing Management
  • 最高 CVSS:9.8
  • 風險等級:Critical
  • 發布時間:2026-06-30

CVE 清單

  • CVE-2026-14161
  • CVE-2026-14162

影響產品

Hospital Queuing Management(HQM) ISO 1.2.13(不含)以前版本

漏洞說明

【CVE-2026-14161(Sensitive Data Exposure)】 未經身分鑑別之遠端攻擊者可訪問特定URL取得API文件。 【CVE-2026-14162(Missing Authentication)】 未經身分鑑別之遠端攻擊者可利用API取得機敏資訊或新增網站管理員帳號。

本站分析

從防禦角度來看,TVN 公告的價值在於它能補足國際 CVE 資料庫較少涵蓋的台灣在地產品風險。若組織內部有使用 Hospital Queuing Management,建議不要只依賴例行弱掃,而是直接比對產品版本、部署位置與是否對外開放。若最高 CVSS 達 High 或 Critical,且攻擊條件包含遠端、未授權或低權限觸發,就應優先納入修補排程。

修補與緩解建議

請更新HQM ISO至 1.2.13(含)以後版本或更新QueueHttp.dll至1.2.12.7(含)以後版本

  1. 盤點是否使用受影響產品與版本,包含測試、備援與舊系統。
  2. 若系統對外開放,先限制管理介面來源或放到 VPN / Zero Trust 後方。
  3. 依照廠商建議更新版本或套用修補檔。
  4. 修補前後檢查登入紀錄、管理操作、異常 API 存取與新增帳號。
  5. 將 CVE 與產品名稱加入弱點管理與 SIEM 查詢條件,追蹤是否有利用跡象。

參考來源

本文由 LonelySec 自動化情報流程整理 TWCERT/CC TVN 公告後產生,重點在於彙整影響範圍、風險判讀與防禦建議,並保留官方來源供讀者查證。

贊(0) 贊助
未經允許不得轉載:波波的寂寞世界 » CVE-2026-14161、CVE-2026-14162:研華科技 Hospital Queuing Management TVN 漏洞公告與修補建議

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站