今日重點:多數高風險項目集中在 MISP 舊版與 Apache APISIX 的特定 jwt-auth 設定;若你的系統有使用這些元件,優先確認版本並升級到已修補版本。
CVE-2015-5719(嚴重度 CVSS 9.8)
影響
影響 Malware Information Sharing Platform(MISP)2.3.92 之前版本。問題位於 app/Controller/TemplatesController.php,未正確限制 tmp/files/ 目錄下的檔名,官方描述未具體說明實際影響與攻擊方式。
該做什麼
如果你維護或部署 MISP,確認版本是否早於 2.3.92;若是,請升級到 2.3.92 或更新版本。
CVE-2015-5721(嚴重度 CVSS 9.8)
影響
影響 MISP 2.3.90 之前版本。遠端攻擊者可透過特製序列化資料進行 PHP object injection,相關檔案包含 TemplatesController.php 與 populate_event_from_template_attributes.ctp。
該做什麼
如果你的 MISP 版本早於 2.3.90,請升級到 2.3.90 或更新版本。若你的部署仍在舊版 PHP / CakePHP 應用堆疊上,應優先處理這類序列化資料相關風險。
CVE-2023-48655(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.176 之前版本。問題位於 app/Controller/Component/IndexFilterComponent.php,未正確過濾 query parameters。
該做什麼
如果你使用 MISP 2.4.175 或更早版本,請升級到 2.4.176 或更新版本。
CVE-2023-48656(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.176 之前版本。問題位於 app/Model/AppModel.php,與 order clauses 處理不當有關。
該做什麼
如果你的 MISP 版本早於 2.4.176,請升級到 2.4.176 或更新版本。
CVE-2023-48657(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.176 之前版本。問題位於 app/Model/AppModel.php,與 filters 處理不當有關。
該做什麼
如果你維護 MISP,請確認版本是否低於 2.4.176;若是,升級到 2.4.176 或更新版本。
CVE-2023-48658(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.176 之前版本。問題位於 app/Model/AppModel.php,缺少針對英數字、底線、破折號、句點與空白的 checkParam 檢查函式。
該做什麼
如果你的 MISP 版本早於 2.4.176,請升級到 2.4.176 或更新版本。
CVE-2023-48659(嚴重度 CVSS 9.8)
影響
影響 MISP 2.4.176 之前版本。問題位於 app/Controller/AppController.php,與 parameter parsing 處理不當有關。
該做什麼
如果你部署的是 MISP 2.4.175 或更早版本,請升級到 2.4.176 或更新版本。
CVE-2026-39999(嚴重度 CVSS 9.1)
影響
影響 Apache APISIX v2.2 到 v3.16.0。這是 jwt-auth plugin 在特定設定下可能發生的 authentication bypass by spoofing,攻擊者可完全繞過認證。
該做什麼
如果你的服務使用 Apache APISIX,尤其有啟用 jwt-auth plugin,請升級到 Apache APISIX v3.17.0;官方指出此版本已修補此問題。
資料來源:NVD
- CVE-2015-5719:https://www.cve.org/CVERecord?id=CVE-2015-5719
- CVE-2015-5721:https://www.cve.org/CVERecord?id=CVE-2015-5721
- CVE-2023-48655:https://www.cve.org/CVERecord?id=CVE-2023-48655
- CVE-2023-48656:https://www.cve.org/CVERecord?id=CVE-2023-48656
- CVE-2023-48657:https://www.cve.org/CVERecord?id=CVE-2023-48657
- CVE-2023-48658:https://www.cve.org/CVERecord?id=CVE-2023-48658
- CVE-2023-48659:https://www.cve.org/CVERecord?id=CVE-2023-48659
- CVE-2026-39999:https://www.cve.org/CVERecord?id=CVE-2026-39999
推薦閱讀
資安快訊:今日重要 CVE(2026-06-19)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-12293、CVE-2026-49268
資安快訊:今日重要 CVE(2026-06-20)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-7515、CVE-2026-8713
資安快訊:今日重要 CVE(2026-06-21)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2019-25763、CVE-2022-50972
資安快訊:今日重要 CVE(2026-06-22)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2020-14967、CVE-2020-14968、CVE-2021-30246、CVE-2026-56265、CVE-2026-56395、CVE-2026-56397
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...