今日快訊:這批高嚴重度 CVE 主要影響 JavaScript 打包與 HTTP client、Python OAuth/加密套件、PHP SOAP、MCP database toolbox,以及 Firefox;如果你的專案或開發環境用到這些元件,請優先升級到修補版本。
CVE-2026-27606(嚴重度 CVSS 9.8)
影響
Rollup 是 JavaScript 常用的 module bundler。Rollup 在 2.80.0、3.30.0、4.59.0 之前的版本存在 path traversal 任意檔案寫入漏洞。
漏洞來自核心引擎的檔名清理不安全。攻擊者若能控制輸出檔名,例如透過 CLI named inputs、manual chunk aliases,或惡意 plugin,就可能使用 ../ 這類 traversal 序列,覆寫 build process 有權限寫入的主機檔案。
這可能導致持久化遠端程式碼執行,因為攻擊者可覆寫重要的系統或使用者設定檔。
該做什麼
如果你的前端、Node.js、library build pipeline、Vite/Rollup plugin 開發流程有使用 Rollup,請升級到已修補版本:
- Rollup 2.x:升級到 2.80.0 或更新
- Rollup 3.x:升級到 3.30.0 或更新
- Rollup 4.x:升級到 4.59.0 或更新
也請檢查是否使用會控制 output filename、chunk alias,或參與輸出檔名生成的第三方 Rollup plugin。
CVE-2026-28802(嚴重度 CVSS 9.8)
影響
Authlib 是 Python 的 OAuth 與 OpenID Connect server library。Authlib 1.6.5 到 1.6.7 之前版本存在 JWT 驗證問題。
根據官方描述,帶有 alg: none 且 empty signature 的惡意 JWT,在預期應該驗證失敗時,卻通過了 signature verification step,而且不需要修改 application code。
這會影響使用 Authlib 建 OAuth 或 OpenID Connect server 的 Python 專案。
該做什麼
如果你的 Python 專案使用 Authlib,尤其是處理 OAuth、OpenID Connect、JWT 驗證的服務,請升級到 Authlib 1.6.7 或更新版本。
CVE-2026-27459(嚴重度 CVSS 9.8)
影響
pyOpenSSL 是 Python 對 OpenSSL 的 wrapper。pyOpenSSL 22.0.0 起、26.0.0 之前版本存在 buffer overflow 問題。
如果使用者提供給 set_cookie_generate_callback 的 callback 回傳超過 256 bytes 的 cookie value,pyOpenSSL 會 overflow OpenSSL 提供的 buffer。
這會影響直接使用 pyOpenSSL,並使用 set_cookie_generate_callback 的 Python 專案。
該做什麼
請將 pyOpenSSL 升級到 26.0.0 或更新版本。從 26.0.0 開始,過長的 cookie value 會被拒絕。
CVE-2026-39892(嚴重度 CVSS 9.8)
影響
cryptography 是 Python 開發者常用的加密 primitives 與 recipes 套件。cryptography 45.0.0 到 46.0.7 之前版本存在 buffer overflow 風險。
如果把 non-contiguous buffer 傳給接受 Python buffers 的 API,例如 Hash.update(),可能導致 buffer overflow。
這會影響使用 cryptography 做 hash、加密、憑證或其他密碼學操作的 Python 專案。
該做什麼
請將 cryptography 升級到 46.0.7 或更新版本。
CVE-2025-62718(嚴重度 CVSS 9.9)
影響
Axios 是瀏覽器與 Node.js 常用的 promise-based HTTP client。Axios 1.15.0 與 0.31.0 之前版本,在檢查 NO_PROXY 規則時,沒有正確處理 hostname normalization。
像 localhost.(尾端有 dot)或 [::1](IPv6 literal)這類 loopback address,可能跳過 NO_PROXY matching,改走已設定的 proxy。這違反開發者對 NO_PROXY 的預期,也可能讓攻擊者強迫 request 經過 proxy。
官方描述指出,這可能導致 proxy bypass 與 SSRF 風險,使攻擊者在已有保護設定下仍可能觸及敏感的 loopback 或 internal services。
該做什麼
如果你的 Node.js 或前端工具鏈使用 Axios,並且環境有設定 proxy / NO_PROXY,請升級到:
- Axios 1.x:1.15.0 或更新
- Axios 0.x:0.31.0 或更新
特別是會從使用者輸入組 URL、或會呼叫內部服務的 server-side Node.js 程式,應優先處理。
CVE-2026-6722(嚴重度 CVSS 9.8)
影響
此漏洞影響 PHP SOAP extension。受影響版本為:
- PHP 8.2.* before 8.2.31
- PHP 8.3.* before 8.3.31
- PHP 8.4.* before 8.4.21
- PHP 8.5.* before 8.5.6
漏洞位於 SOAP extension 的 object deduplication mechanism。官方描述指出,在特定 apache:Map node 包含 duplicate keys、後續又有 href reference 的情境下,攻擊者若能控制 SOAP request body,可能利用 use-after-free 達成 remote code execution。
該做什麼
如果你的 PHP 服務啟用 SOAP extension,或提供 SOAP endpoint,請升級到對應修補版本:
- PHP 8.2.31 或更新
- PHP 8.3.31 或更新
- PHP 8.4.21 或更新
- PHP 8.5.6 或更新
如果你的服務不需要 SOAP extension,請停用它。
CVE-2026-11720(嚴重度 CVSS 9.1)
影響
此漏洞影響 googleapis 的 MCP Toolbox for Databases(CPE product: mcp_toolbox_for_databases)。
漏洞位於 HTTP tool URL builder。當它建立 downstream API requests 時,會把使用者可控制的 pathParams 代入 operator 設定的 tool path,並把結果解析成 relative URL。雖然它檢查輸入沒有改變 scheme、host 或 user info,但最後 URL resolution 會 normalize ../ dot segments。
攻擊者因此可能透過 path traversal sequence 逃出原本設定的 path scope,讓 toolbox 對同一個 target host 上非預期 endpoint 發 request,並 forwarding toolbox 已設定的 credentials。例如原本限制在 /api/v1/users/{{.id}},卻被導向 /admin/secrets 這類非預期路徑。
該做什麼
如果你使用 googleapis/mcp-toolbox,尤其是把它接到內部 API 或資料庫相關工具,請追蹤並套用官方修補。也請檢查 tool path 中是否有使用 user-controlled pathParams,並確認路徑參數不能透過 ../ 逃出預期範圍。
CVE-2026-14241(嚴重度 CVSS 9.8)
影響
此漏洞影響 Firefox 152.0.3。Mozilla 指出其中存在 memory safety bugs,部分 bug 有 memory corruption 的跡象,並推定在足夠努力下,部分問題可能被利用來執行任意程式碼。
這會影響使用 Firefox 152.0.3 的開發者與測試環境。
該做什麼
請將 Firefox 升級到 152.0.4 或更新版本。若你的開發、測試、自動化瀏覽器流程固定使用 Firefox 版本,也請確認 CI 或測試映像檔已更新。
資料來源:NVD
- CVE-2026-27606:https://nvd.nist.gov/vuln/detail/CVE-2026-27606
- CVE-2026-28802:https://nvd.nist.gov/vuln/detail/CVE-2026-28802
- CVE-2026-27459:https://nvd.nist.gov/vuln/detail/CVE-2026-27459
- CVE-2026-39892:https://nvd.nist.gov/vuln/detail/CVE-2026-39892
- CVE-2025-62718:https://nvd.nist.gov/vuln/detail/CVE-2025-62718
- CVE-2026-6722:https://nvd.nist.gov/vuln/detail/CVE-2026-6722
- CVE-2026-11720:https://nvd.nist.gov/vuln/detail/CVE-2026-11720
- CVE-2026-14241:https://nvd.nist.gov/vuln/detail/CVE-2026-14241
推薦閱讀
資安快訊:今日重要 CVE(2026-06-26)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-48137、CVE-2026-54309、CVE-2026-39948、CVE-2026-40079、CVE-2025-71334、CVE-2025-71336
資安快訊:今日重要 CVE(2026-06-27)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2017-8046、CVE-2019-19576、CVE-2019-19634、CVE-2026-50242、CVE-2026-54906、CVE-2026-55455、CVE-2026-48930、CVE-2026-54636
資安快訊:今日重要 CVE(2026-06-28)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-42208、CVE-2026-58053
資安快訊:今日重要 CVE(2026-06-30)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2025-55130、CVE-2026-2757、CVE-2026-2758、CVE-2026-2759、CVE-2026-2760、CVE-2026-2761、CVE-2026-2762、CVE-2026-2763
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...