今日高風險漏洞集中在 Spring、Node.js、Ruby concurrent-ruby、Appsmith、Dokku、JetBrains Hub,以及 PHP/Joomla 上傳元件;若你的專案或內部工具有用到這些元件,優先檢查版本並升級。
CVE-2017-8046(嚴重度 CVSS 9.8)
影響
使用 Spring Data REST 或 Spring Boot 的 Java 服務可能受影響。受影響版本包含 Spring Data REST 2.6.9 之前、3.0.1 之前,以及 Spring Boot 1.5.9 之前、2.0 M6 之前。
攻擊者可透過惡意 PATCH request,搭配特製 JSON 資料,在伺服器上執行任意 Java 程式碼。
該做什麼
如果你的 Java API 使用 Spring Data REST,請升級到 Spring Data REST 2.6.9 / 3.0.1 或更新版本;如果使用 Spring Boot,請升級到 1.5.9、2.0 M6 之後的修正版或更新版本。
CVE-2019-19576(嚴重度 CVSS 9.8)
影響
使用 PHP verot.net class.upload 的專案可能受影響,包含 Joomla! 的 K2 extension 以及其他使用該上傳元件的產品。
受影響版本為 class.upload 1.0.3 之前,以及 2.x 版本 2.0.4 之前。問題是 .phar 沒有被列入危險副檔名,可能導致不安全的檔案上傳。
該做什麼
如果你的 PHP 或 Joomla! 專案使用 class.upload.php 或 K2 extension,請升級 class.upload 到 1.0.3 / 2.0.4 或更新版本,並檢查上傳功能是否允許 .phar 檔案。
CVE-2019-19634(嚴重度 CVSS 9.8)
影響
同樣影響 PHP verot.net class.upload,包含 Joomla! K2 extension 以及其他使用該元件的產品。
受影響版本為 class.upload 1.0.3 及以前版本、2.x 版本 2.0.4 及以前版本。問題是 .pht 沒有被列入危險副檔名,與 CVE-2019-19576 類似。
該做什麼
如果你的專案使用 class.upload.php,請升級到已修正版本,並確認上傳限制中有阻擋 .pht 這類危險副檔名。
CVE-2026-50242(嚴重度 CVSS 10)
影響
使用 JetBrains Hub 的團隊或內部系統可能受影響。
在 JetBrains Hub 下列版本之前,存在透過直接資料庫存取繞過認證並取得管理員權限的問題:
- 2026.1.13757
- 2025.3.148033
- 2025.2.148048
- 2025.1.148120
- 2024.3.148430
- 2024.2.148429
該做什麼
如果你有自架 JetBrains Hub,請升級到對應分支的修正版或更新版本。
CVE-2026-54906(嚴重度 CVSS 9.8)
影響
使用 Ruby concurrent-ruby 的專案可能受影響。
在 1.3.7 之前,Concurrent::ReadWriteLock#release_write_lock 不會確認呼叫的 thread 是否真的持有 write lock。任何能存取該 lock 物件的 thread 都可能釋放另一個 thread 持有的 write lock,導致第二個 writer 在第一個 writer 尚未完成時進入 critical section。
另外,Concurrent::ReadWriteLock#release_read_lock 在沒有 read lock 時也會遞減計數,可能讓正常的 read acquisition 之後丟出 Concurrent::ResourceLimitError。
該做什麼
如果你的 Ruby 專案使用 concurrent-ruby,請升級到 1.3.7 或更新版本。
CVE-2026-55455(嚴重度 CVSS 9.1)
影響
使用 Appsmith 建置 admin panel、內部工具或 dashboard 的團隊可能受影響。
在 2.1 之前,REST API 與 GraphQL datasource plugins 使用的 outbound HTTP host filter 只用精確字串 denylist 檢查 host。較完整的位址類型檢查只存在於 SMTP 使用的另一條程式路徑,不適用於 HTTP plugin path。
結果是已登入使用者可以設計 outbound request,連到 container 內部綁在 loopback 的服務。
該做什麼
如果你有自架 Appsmith,請升級到 2.1 或更新版本。
CVE-2026-48930(嚴重度 CVSS 9.8)
影響
使用 Node.js 的專案可能受影響,包含所有受支援 release lines:Node.js 22、Node.js 24、Node.js 26。
漏洞位於 Node.js TLS hostname handling。Embedded-nul hostnames 可能因 resolver bindings 中的 C string 截斷,造成 silent authority rebinding。
該做什麼
如果你的服務、CLI 工具或部署環境使用 Node.js 22、24 或 26,請依照 Node.js 2026 年 6 月 security releases 升級到修正版。
CVE-2026-54636(嚴重度 CVSS 9.0)
影響
使用 Dokku 部署應用的團隊可能受影響。
在 0.38.7 之前,Dokku cron plugin 會使用 app.json 裡的 commands 管理以 Dokku user 執行的 system cron。如果 app.json 的 cron command 使用特殊 shell 字元,例如 > 或 ;,可能跳出 Docker container,並以 Dokku user 在 host 上執行命令。
該做什麼
如果你使用 Dokku,請升級到 0.38.7 或更新版本,並檢查應用的 app.json cron command 是否包含特殊 shell 字元。
資料來源:NVD
- https://nvd.nist.gov/vuln/detail/CVE-2017-8046
- https://nvd.nist.gov/vuln/detail/CVE-2019-19576
- https://nvd.nist.gov/vuln/detail/CVE-2019-19634
- https://nvd.nist.gov/vuln/detail/CVE-2026-50242
- https://nvd.nist.gov/vuln/detail/CVE-2026-54906
- https://nvd.nist.gov/vuln/detail/CVE-2026-55455
- https://nvd.nist.gov/vuln/detail/CVE-2026-48930
- https://nvd.nist.gov/vuln/detail/CVE-2026-54636
推薦閱讀
資安快訊:今日重要 CVE(2026-06-21)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2019-25763、CVE-2022-50972
資安快訊:今日重要 CVE(2026-06-22)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2020-14967、CVE-2020-14968、CVE-2021-30246、CVE-2026-56265、CVE-2026-56395、CVE-2026-56397
資安快訊:今日重要 CVE(2026-06-23)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2018-12649、CVE-2020-15411、CVE-2020-29006、CVE-2021-39302、CVE-2021-41326、CVE-2022-48328、CVE-2022-48329、CVE-2023-50918
資安快訊:今日重要 CVE(2026-06-24)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2015-5719、CVE-2015-5721、CVE-2023-48655、CVE-2023-48656、CVE-2023-48657、CVE-2023-48658、CVE-2023-48659、CVE-2026-39999
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...