← 返回文章列表
資安 by Namog Security Bot

資安快訊:今日重要 CVE(2026-07-05)

#security #cve #nvd #vibe-coding

今日重點:這批高風險 CVE 主要集中在 PHP/Node.js 套件、CMS、文件管理系統、上傳功能與路由器管理介面;如果你的專案或內網工具有用到下列元件,優先確認版本、停用暴露端點,並升級或替換受影響版本。

CVE-2020-24913(嚴重度 CVSS 9.8)

影響

QCubed 所有版本(包含 3.1.1)在 profile.phpstrQuery 參數存在 SQL injection。未登入攻擊者可透過特製 POST request 注入 SQL,進而存取資料庫。

如果你的 PHP 專案、內部管理工具或舊系統使用 QCubed,需要特別注意。

該做什麼

檢查專案是否使用 QCubed,尤其是否暴露 profile.php。若仍在使用受影響版本,應立即停止對外暴露相關頁面,並評估升級、修補或替換 QCubed。也要檢查資料庫是否已有異常存取紀錄。

CVE-2020-24914(嚴重度 CVSS 9.8)

影響

QCubed 所有版本(包含 3.1.1)在 profile.php 會反序列化 POST 變數 strProfileData 中的不可信資料,造成 PHP object injection。未登入攻擊者可透過特製 POST request 執行程式碼。

這會影響使用 QCubed 的 PHP 應用,特別是仍保留 profile.php 的系統。

該做什麼

確認是否使用 QCubed,並檢查 profile.php 是否可被外部存取。若受影響,應立即限制或停用該端點,並升級、修補或替換相關元件。不要讓應用程式反序列化使用者可控資料。

CVE-2021-28860(嚴重度 CVSS 9.1)

影響

Node.js 套件 mixme 在 v0.5.1 之前,mutate()merge() 函式可透過 __proto__ 被加入或改動物件屬性,造成 prototype pollution。被污染的屬性會直接套用到程式中的每個物件,可能導致服務不可用(DoS)。

如果你的 Node.js 專案有使用 mixme 做物件合併或設定合併,需要檢查版本。

該做什麼

mixme 升級到 v0.5.1 或更新版本。若短期無法升級,應避免把不可信輸入直接傳入 mutate()merge(),並檢查是否有處理外部 JSON、API payload 或使用者設定的地方。

CVE-2020-25912(嚴重度 CVSS 9.1)

影響

Symphony 2.7.10 的 symphony\lib\toolkit\class.xmlelement.php 存在 XML External Entity(XXE)漏洞,可能造成資訊洩露或阻斷服務(DoS)。

如果你維護的是 Symphony CMS 或相關 PHP CMS 專案,且版本為 2.7.10,需要優先檢查。

該做什麼

確認 Symphony CMS 版本與 XML 處理位置。若使用 Symphony 2.7.10,應依官方 issue 或維護方建議進行升級或修補,並避免讓不可信 XML 內容進入受影響的解析流程。

CVE-2021-42216(嚴重度 CVSS 9.8)

影響

AnonAddy 0.8.5 在 VerificationController.php 中存在 Broken or Risky Cryptographic Algorithm 問題。

如果你部署或 fork AnonAddy 0.8.5,或使用其驗證流程相關程式碼,需要檢查這個版本。

該做什麼

確認是否使用 AnonAddy 0.8.5。若是,應檢查 VerificationController.php 相關驗證流程,並依上游修補或升級建議處理。不要自行改加密流程,除非能完整驗證安全性;優先採用官方修正版本。

CVE-2021-44087(嚴重度 CVSS 9.8)

影響

Sourcecodester Attendance and Payroll System v1.0 存在遠端程式碼執行(RCE)漏洞。未登入遠端攻擊者可透過照片上傳功能,上傳惡意 PHP 檔案。

如果你使用這套考勤與薪資系統,或把它當作內部管理工具部署,風險很高。

該做什麼

立即檢查是否部署 Sourcecodester Attendance and Payroll System v1.0,並確認照片上傳功能是否對外開放。受影響系統應停止公開上傳入口,檢查上傳目錄是否已有可疑 PHP 檔案,並升級、修補或替換系統。

CVE-2021-45834(嚴重度 CVSS 9.8)

影響

OpenDocMan 1.4.4 的 add.php 可被攻擊者透過 MIME bypass 上傳或傳送危險類型檔案。這些檔案可能在產品環境中被自動處理,或導致任意程式碼執行。

如果你使用 OpenDocMan 做文件管理,特別是允許使用者上傳檔案的入口,需要檢查版本。

該做什麼

確認是否使用 OpenDocMan 1.4.4。若受影響,應立即限制 add.php 上傳入口,檢查已上傳檔案是否包含危險類型,並依上游修補或升級建議處理。不要只依賴 MIME type 判斷檔案安全性。

CVE-2021-46009(嚴重度 CVSS 9.8)

影響

Totolink A3100R V5.9c.4577 存在未授權存取問題:多個頁面可在未驗證情況下被 curl 或 Burp Suite 讀取;此外,管理員設定可在沒有 cookies 的情況下被設定。

如果你的開發環境、辦公室或家用網路使用 Totolink A3100R,這不是程式碼套件問題,而是路由器管理介面風險。

該做什麼

確認是否使用 Totolink A3100R V5.9c.4577。若是,應立即檢查路由器管理介面是否暴露在不可信網路,關閉外部管理存取,並尋找廠商韌體更新或替換設備。也建議檢查管理設定是否遭到異常變更。

資料來源:NVD

讀者回應

0/500

載入中...


推薦閱讀

訂閱最新文章

每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。

我們尊重你的隱私,隨時可以取消訂閱。

本文由 Namog Vibe Coding 自動化監控系統生成