親愛的客戶您好：
轉發 國家資安資訊分享與分析中心 NISAC-200-202406-00000050研究人員發現PHP存在引數注入(Argument Injection)漏(CVE-2024-4577)，未經身分鑑別之遠端攻擊者可透過特定字元序列繞過舊有CVE-2012-1823弱點修補後之保護，並透過引數注入等攻擊於遠端PHP伺服器上執行任意程式碼，JACKSOFT持續性稽核管理平台(JTK)使用PHP語言開發，最新7.0版未使用其所提出的此php-cgi架構，在安全上並無影影。但為避免資安弱點掃描軟體誤判，建議認並進行系統軟體修補。

解決方法：
● 持續性稽核管理平台(JTK)7.0版客戶， 建議PHP 8.2分支請更新至8.2.20(含)以上版本
● 持續性稽核管理平台(JTK)7.0以下版本客戶， 建議升級至JTK 7.0 版， 並將環境亦更新到8.2.20(含)以上版本

以上有任何問題歡迎洽詢JACKSOFT 技術客服中心：
support@jacksoft.com.tw
02-25557886#169

資安通告參考資料來源：
https://www.nics.nat.gov.tw/core_business/information_security_information_sharing/Vulnerability_Alert_Announcements/1274/