今天重點是:Node.js 權限模型有高風險繞過問題;Firefox / Thunderbird 則有多個 9.8~10.0 的嚴重漏洞,已在指定版本修補。
CVE-2025-55130(嚴重度 CVSS 9.1)
影響
這個漏洞影響使用 Node.js 權限模型的開發者,特別是有使用 --allow-fs-read 或 --allow-fs-write 限制檔案讀寫範圍的專案。
漏洞出在 Node.js 對相對路徑與 symlink 的處理。攻擊者可透過特製的相對 symlink 路徑,繞過原本只允許目前目錄讀寫的限制,讀取或寫入允許範圍外的檔案。受影響版本包含 Node.js v20、v22、v24、v25。
該做什麼
如果你的工具、CI 腳本、開發伺服器或自動化流程有依賴 Node.js 權限模型隔離檔案存取,請升級到 Node.js 官方 2025 年 12 月安全更新中修補後的版本。
在升級前,不要把 --allow-fs-read / --allow-fs-write 當成完整隔離邊界,尤其不要讓不受信任的腳本在可建立 symlink 的目錄中執行。
CVE-2026-2757(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird,問題位於 WebRTC 的 Audio/Video 元件,屬於邊界條件處理錯誤。
如果你使用 Firefox 做網頁開發、WebRTC 測試,或使用 Thunderbird 作為郵件工具,都在受影響範圍內。
該做什麼
請升級到已修補版本:
- Firefox 148
- Firefox ESR 115.33
- Firefox ESR 140.8
- Thunderbird 148
- Thunderbird 140.8
CVE-2026-2758(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird,問題位於 JavaScript: GC 元件,是 use-after-free 類型漏洞。
對 vibe coding 開發者來說,這代表你日常用來開發、測試、預覽網頁的 Firefox,或日常收信使用的 Thunderbird,都需要更新。
該做什麼
請升級到已修補版本:
- Firefox 148
- Firefox ESR 115.33
- Firefox ESR 140.8
- Thunderbird 148
- Thunderbird 140.8
CVE-2026-2759(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird,問題位於 Graphics: ImageLib 元件,屬於邊界條件處理錯誤。
如果你用 Firefox 開發或測試含圖片處理、圖片載入的網站,或使用 Thunderbird 處理郵件內容,請優先更新。
該做什麼
請升級到已修補版本:
- Firefox 148
- Firefox ESR 115.33
- Firefox ESR 140.8
- Thunderbird 148
- Thunderbird 140.8
CVE-2026-2760(嚴重度 CVSS 10.0)
影響
這個漏洞影響 Firefox 與 Thunderbird,問題位於 Graphics: WebRender 元件,因邊界條件處理錯誤導致 sandbox escape。
這是本批次中最高嚴重度的漏洞之一。只要你的開發、測試或日常工作環境使用 Firefox / Thunderbird,就應立即處理。
該做什麼
請升級到已修補版本:
- Firefox 148
- Firefox ESR 115.33
- Firefox ESR 140.8
- Thunderbird 148
- Thunderbird 140.8
CVE-2026-2761(嚴重度 CVSS 10.0)
影響
這個漏洞影響 Firefox 與 Thunderbird,問題同樣位於 Graphics: WebRender 元件,會造成 sandbox escape。
如果你的開發環境、測試機、工作機仍使用未修補版本的 Firefox 或 Thunderbird,請視為高優先處理項目。
該做什麼
請升級到已修補版本:
- Firefox 148
- Firefox ESR 115.33
- Firefox ESR 140.8
- Thunderbird 148
- Thunderbird 140.8
CVE-2026-2762(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird,問題位於 JavaScript: Standard Library 元件,是 integer overflow 類型漏洞。
對前端與全端開發者來說,Firefox 是常見測試瀏覽器;如果仍在使用受影響版本,應儘快更新。
該做什麼
請升級到已修補版本:
- Firefox 148
- Firefox ESR 140.8
- Thunderbird 148
- Thunderbird 140.8
CVE-2026-2763(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird,問題位於 JavaScript Engine 元件,是 use-after-free 類型漏洞。
如果你使用 Firefox 測試 JavaScript 應用,或使用 Thunderbird 作為工作郵件工具,請確認版本已更新。
該做什麼
請升級到已修補版本:
- Firefox 148
- Firefox ESR 115.33
- Firefox ESR 140.8
- Thunderbird 148
- Thunderbird 140.8
資料來源:NVD
- CVE-2025-55130:https://nvd.nist.gov/vuln/detail/CVE-2025-55130
- CVE-2026-2757:https://nvd.nist.gov/vuln/detail/CVE-2026-2757
- CVE-2026-2758:https://nvd.nist.gov/vuln/detail/CVE-2026-2758
- CVE-2026-2759:https://nvd.nist.gov/vuln/detail/CVE-2026-2759
- CVE-2026-2760:https://nvd.nist.gov/vuln/detail/CVE-2026-2760
- CVE-2026-2761:https://nvd.nist.gov/vuln/detail/CVE-2026-2761
- CVE-2026-2762:https://nvd.nist.gov/vuln/detail/CVE-2026-2762
- CVE-2026-2763:https://nvd.nist.gov/vuln/detail/CVE-2026-2763
推薦閱讀
資安快訊:今日重要 CVE(2026-06-24)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2015-5719、CVE-2015-5721、CVE-2023-48655、CVE-2023-48656、CVE-2023-48657、CVE-2023-48658、CVE-2023-48659、CVE-2026-39999
資安快訊:今日重要 CVE(2026-06-25)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2025-12543、CVE-2026-49468、CVE-2026-44792、CVE-2026-12417
資安快訊:今日重要 CVE(2026-06-26)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-48137、CVE-2026-54309、CVE-2026-39948、CVE-2026-40079、CVE-2025-71334、CVE-2025-71336
資安快訊:今日重要 CVE(2026-06-27)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2017-8046、CVE-2019-19576、CVE-2019-19634、CVE-2026-50242、CVE-2026-54906、CVE-2026-55455、CVE-2026-48930、CVE-2026-54636
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...