資安快訊：今日重要 CVE（2026-06-22）

今日重點集中在 Node.js 加密套件、AI 爬蟲服務與 Electron 筆記工具：如果你的專案或開發環境有用到 jsrsasign、Crawl4AI Docker API server 或 SiYuan，請優先確認版本並升級。

CVE-2020-14967（嚴重度 CVSS 9.8）

影響

這個漏洞影響 Node.js 的 jsrsasign 套件 8.0.18 之前版本。問題出在 RSA PKCS#1 v1.5 解密實作：當密文前面被加上 \0 bytes 時，套件不會正確偵測密文遭修改，而是照樣解密。資料也提到，攻擊者可能藉此嘗試觸發記憶體破壞問題。

如果你的 Node.js 專案使用 jsrsasign 做 RSA 解密，尤其是處理外部輸入的密文，就在影響範圍內。

該做什麼

檢查 package.json / lockfile 中的 jsrsasign 版本，將 jsrsasign 升級到 8.0.18 或更新版本。若你的系統仍停在 8.0.17 或更早版本，應優先更新。

CVE-2020-14968（嚴重度 CVSS 9.8）

影響

這個漏洞影響 Node.js 的 jsrsasign 套件 8.0.17 之前版本。問題出在 RSASSA-PSS（RSA-PSS）簽章驗證實作：當簽章前面被加上 \0 bytes 時，套件不會正確偵測簽章遭修改，反而會接受這些被修改過的簽章為有效。

官方描述指出，攻擊者可能利用這個行為，在原本只應存在一個有效簽章的情境中，製造多個看似有效的簽章；資料也提到，攻擊者可能嘗試藉此觸發記憶體破壞問題。

如果你的 Node.js 專案使用 jsrsasign 驗證 RSA-PSS 簽章，請特別注意。

該做什麼

將 jsrsasign 升級到 8.0.17 或更新版本。若你已經要處理 CVE-2020-14967，建議直接升級到 8.0.18 或更新版本，避免同時踩到兩個相近問題。

CVE-2021-30246（嚴重度 CVSS 9.1）

影響

這個漏洞影響 Node.js 的 jsrsasign 套件 10.1.13 以前與 10.1.13 版本範圍內的使用情境。問題是某些無效的 RSA PKCS#1 v1.5 簽章會被錯誤判定為有效。

官方描述也註明：目前沒有已知的實際攻擊方式。不過，這仍然是簽章驗證邏輯錯誤，對依賴 RSA 簽章驗證的應用來說屬於高風險問題。

該做什麼

如果你的 Node.js 專案使用 jsrsasign 做 RSA PKCS#1 v1.5 簽章驗證，請檢查目前版本，並依專案可用版本升級到修正後版本。不要只依賴「目前沒有已知實際攻擊」作為延後更新的理由。

CVE-2026-56265（嚴重度 CVSS 9.8）

影響

這個漏洞影響 Crawl4AI 0.8.7 之前版本的 Docker API server。問題是 Docker API server 使用硬編碼的預設 JWT 簽章金鑰。知道這個預設金鑰的攻擊者，可以偽造任意使用者的有效認證 token，繞過身分驗證，取得受保護功能的完整存取權。

如果你用 Docker 部署 Crawl4AI，或把 Crawl4AI 的 Docker API server 放在團隊、內網或公開環境中使用，請優先檢查版本。

該做什麼

將 Crawl4AI 升級到 0.8.7 或更新版本。若你目前使用的是 0.8.7 之前版本，應避免讓 Docker API server 暴露在不可信網路中，並儘快更新。

CVE-2026-56395（嚴重度 CVSS 9.6）

影響

這個漏洞影響 SiYuan v3.6.1 之前版本。問題出在 Bazaar marketplace：SiYuan 沒有正確清理套件 metadata 與 README 內容，惡意套件作者可以在 displayName、description 或 README 欄位中放入任意 HTML 與 JavaScript。

官方描述指出，使用者只要瀏覽 Bazaar 中的惡意套件，就可能因 Electron 的 nodeIntegration 設定而導致作業系統指令執行。

如果你使用 SiYuan，尤其會瀏覽或安裝 Bazaar marketplace 套件，這個漏洞與你的開發環境安全直接相關。

該做什麼

將 SiYuan 升級到 v3.6.1 或更新版本。升級前，避免瀏覽不可信的 Bazaar 套件頁面，尤其是陌生作者提供的套件 metadata 或 README 內容。

CVE-2026-56397（嚴重度 CVSS 9.6）

影響

這個漏洞同樣影響 SiYuan v3.6.1 之前版本，內容也指向 Bazaar marketplace 的套件 metadata 與 README 未正確清理問題。惡意套件作者可透過 displayName、description 或 README 欄位注入 HTML 與 JavaScript，並利用 Electron 的 nodeIntegration 設定達成作業系統指令執行。

對 vibe coding 開發者來說，這代表筆記工具或知識庫工具本身也可能成為執行惡意程式碼的入口。

該做什麼

將 SiYuan 升級到 v3.6.1 或更新版本。若尚未升級，避免瀏覽 Bazaar 中不可信套件的詳細頁面，並暫停接觸陌生套件內容。

資料來源：NVD

• https://nvd.nist.gov/vuln/detail/CVE-2020-14967
• https://nvd.nist.gov/vuln/detail/CVE-2020-14968
• https://nvd.nist.gov/vuln/detail/CVE-2021-30246
• https://nvd.nist.gov/vuln/detail/CVE-2026-56265
• https://nvd.nist.gov/vuln/detail/CVE-2026-56395
• https://nvd.nist.gov/vuln/detail/CVE-2026-56397