| TVN ID | TVN-202601001 |
|---|---|
| CVE ID | CVE-2025-15235, CVE-2025-15236, CVE-2025-15237, CVE-2025-15238, CVE-2025-15239, CVE-2025-15240 |
| CVSS | CVE-2025-15235: 6.5 (Medium) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-15236: 4.3 (Medium) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVE-2025-15237: 4.3 (Medium) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N CVE-2025-15238: 6.5 (Medium) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-15239: 6.5 (Medium) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2025-15240: 8.8 (High) CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 影響產品 | QOCA aim v2.7.5(含)以前版本 |
| 問題描述 | CVE-2025-15235: QOCA aim AI醫療雲平台存在Missing Authorization漏洞,已通過身分鑑別之遠端攻擊者可透過修改特定網路封包參數,導致系統特定功能可存取其他使用者檔案。 CVE-2025-15236, CVE-2025-15237: QOCA aim AI醫療雲平台存在Path Traversal漏洞,已通過身分鑑別之遠端攻擊者可利用Absolute Path Traversal讀取該路徑下資料夾名稱。 CVE-2025-15238, CVE-2025-15239: QOCA aim AI醫療雲平台存在SQL Injection漏洞,已通過身分鑑別之遠端攻擊者可注入任意SQL指令讀取資料庫內容。 CVE-2025-15240: QOCA aim AI醫療雲平台存在Arbitrary File Upload漏洞,已通過身分鑑別之遠端攻擊者可上傳並執行網頁後門程式,進而於伺服器端執行任意程式碼。 |
| 解決方法 | 請更新至v2.7.6(含)以後版本 |
| 漏洞通報者 | Linwz(DEVCORE) |
| 公開日期 | 2026-01-05 |
:::