关键漏洞信息 受影响软件: TIM BPM Suite / TIM FLOW 受影响版本: < 9.1.2 发现者: Y-Security 漏洞详情 漏洞描述 使用有缺陷或高风险的加密算法 (CVE-2025-67279): 允许远程攻击者通过使用无或弱哈希算法获得密码哈希的访问权。 HQL注入 (CVE-2025-67280): 允许低权限用户提取其他用户的密码和访问敏感数据。 SQL注入 (CVE-2025-67281): 允许低权限和管理员用户访问数据库及其内容。 不正确的访问控制 (CVE-2025-67282): 允许低权限用户下载其他用户的密码哈希、访问其他用户的工作项、修改受限制的内容、修改应用标志和操纵其他用户配置文件。 缓解与建议 供应商提到已修复,但Y-Security尚未验证。 推荐遵循OWASP Cheat Sheet系列,如SQL Injection Prevention Cheat Sheet、Authorization Cheat Sheet和Password Storage Cheat Sheet。 披露时间线 负责人 姓名: Christian Becker 邮箱: christian@y-security.de 公司: Y-Security GmbH 日期: 2026年1月9日