关于红帆HFOffice（iOffice20）系统SQL注入漏洞的提醒

 

近期，我司接到工业和信息化网络安全威胁和漏洞信息共享平台（NVDB）漏洞通报，红帆HFOffice（iOffice20）系统存在SQL注入漏洞（漏洞定位：/api/switch-value/list?sorts=&conditions=%5B%5D&_ZQA_ID=4dc296c6c89905a7）。

 

经我司技术人员排查发现，是由于部分用户站点下web.config的Debug的值设置为1，导致系统存在SQL注入漏洞。为确保广大用户的办公系统及数据安全，请尽快检查相关系统站点下web.config的Debug值是否为0，若不是，请设为0，如下图所示：

 

 

作为国内一直深耕在医疗行政管控系统的研发及维护服务商，我司承蒙广大用户一直以来的大力支持与配合。

 

随着国家对于信息安全要求越来越严格，我司将进一步加大研发投入，改善管理，加强事前排查与防范，及时响应，提升服务质量，将一切有可能发生的问题提前避免、已发生的问题迅速解决，不辜负广大用户的选择与信任。

 

广州红帆科技有限公司

2023年4月4日