今日重點:這批高風險 CVE 主要集中在 PHP/Node.js 套件、CMS、文件管理系統、上傳功能與路由器管理介面;如果你的專案或內網工具有用到下列元件,優先確認版本、停用暴露端點,並升級或替換受影響版本。
CVE-2020-24913(嚴重度 CVSS 9.8)
影響
QCubed 所有版本(包含 3.1.1)在 profile.php 的 strQuery 參數存在 SQL injection。未登入攻擊者可透過特製 POST request 注入 SQL,進而存取資料庫。
如果你的 PHP 專案、內部管理工具或舊系統使用 QCubed,需要特別注意。
該做什麼
檢查專案是否使用 QCubed,尤其是否暴露 profile.php。若仍在使用受影響版本,應立即停止對外暴露相關頁面,並評估升級、修補或替換 QCubed。也要檢查資料庫是否已有異常存取紀錄。
CVE-2020-24914(嚴重度 CVSS 9.8)
影響
QCubed 所有版本(包含 3.1.1)在 profile.php 會反序列化 POST 變數 strProfileData 中的不可信資料,造成 PHP object injection。未登入攻擊者可透過特製 POST request 執行程式碼。
這會影響使用 QCubed 的 PHP 應用,特別是仍保留 profile.php 的系統。
該做什麼
確認是否使用 QCubed,並檢查 profile.php 是否可被外部存取。若受影響,應立即限制或停用該端點,並升級、修補或替換相關元件。不要讓應用程式反序列化使用者可控資料。
CVE-2021-28860(嚴重度 CVSS 9.1)
影響
Node.js 套件 mixme 在 v0.5.1 之前,mutate() 與 merge() 函式可透過 __proto__ 被加入或改動物件屬性,造成 prototype pollution。被污染的屬性會直接套用到程式中的每個物件,可能導致服務不可用(DoS)。
如果你的 Node.js 專案有使用 mixme 做物件合併或設定合併,需要檢查版本。
該做什麼
將 mixme 升級到 v0.5.1 或更新版本。若短期無法升級,應避免把不可信輸入直接傳入 mutate() 或 merge(),並檢查是否有處理外部 JSON、API payload 或使用者設定的地方。
CVE-2020-25912(嚴重度 CVSS 9.1)
影響
Symphony 2.7.10 的 symphony\lib\toolkit\class.xmlelement.php 存在 XML External Entity(XXE)漏洞,可能造成資訊洩露或阻斷服務(DoS)。
如果你維護的是 Symphony CMS 或相關 PHP CMS 專案,且版本為 2.7.10,需要優先檢查。
該做什麼
確認 Symphony CMS 版本與 XML 處理位置。若使用 Symphony 2.7.10,應依官方 issue 或維護方建議進行升級或修補,並避免讓不可信 XML 內容進入受影響的解析流程。
CVE-2021-42216(嚴重度 CVSS 9.8)
影響
AnonAddy 0.8.5 在 VerificationController.php 中存在 Broken or Risky Cryptographic Algorithm 問題。
如果你部署或 fork AnonAddy 0.8.5,或使用其驗證流程相關程式碼,需要檢查這個版本。
該做什麼
確認是否使用 AnonAddy 0.8.5。若是,應檢查 VerificationController.php 相關驗證流程,並依上游修補或升級建議處理。不要自行改加密流程,除非能完整驗證安全性;優先採用官方修正版本。
CVE-2021-44087(嚴重度 CVSS 9.8)
影響
Sourcecodester Attendance and Payroll System v1.0 存在遠端程式碼執行(RCE)漏洞。未登入遠端攻擊者可透過照片上傳功能,上傳惡意 PHP 檔案。
如果你使用這套考勤與薪資系統,或把它當作內部管理工具部署,風險很高。
該做什麼
立即檢查是否部署 Sourcecodester Attendance and Payroll System v1.0,並確認照片上傳功能是否對外開放。受影響系統應停止公開上傳入口,檢查上傳目錄是否已有可疑 PHP 檔案,並升級、修補或替換系統。
CVE-2021-45834(嚴重度 CVSS 9.8)
影響
OpenDocMan 1.4.4 的 add.php 可被攻擊者透過 MIME bypass 上傳或傳送危險類型檔案。這些檔案可能在產品環境中被自動處理,或導致任意程式碼執行。
如果你使用 OpenDocMan 做文件管理,特別是允許使用者上傳檔案的入口,需要檢查版本。
該做什麼
確認是否使用 OpenDocMan 1.4.4。若受影響,應立即限制 add.php 上傳入口,檢查已上傳檔案是否包含危險類型,並依上游修補或升級建議處理。不要只依賴 MIME type 判斷檔案安全性。
CVE-2021-46009(嚴重度 CVSS 9.8)
影響
Totolink A3100R V5.9c.4577 存在未授權存取問題:多個頁面可在未驗證情況下被 curl 或 Burp Suite 讀取;此外,管理員設定可在沒有 cookies 的情況下被設定。
如果你的開發環境、辦公室或家用網路使用 Totolink A3100R,這不是程式碼套件問題,而是路由器管理介面風險。
該做什麼
確認是否使用 Totolink A3100R V5.9c.4577。若是,應立即檢查路由器管理介面是否暴露在不可信網路,關閉外部管理存取,並尋找廠商韌體更新或替換設備。也建議檢查管理設定是否遭到異常變更。
資料來源:NVD
- CVE-2020-24913: http://packetstormsecurity.com/files/161759/QCubed-3.1.1-SQL-Injection.html
- CVE-2020-24914: http://packetstormsecurity.com/files/161758/QCubed-3.1.1-PHP-Object-Injection.html
- CVE-2021-28860: https://github.com/adaltas/node-mixme/security/advisories/GHSA-79jw-6wg7-r9g4
- CVE-2020-25912: https://github.com/symphonycms/symphonycms/issues/2924
- CVE-2021-42216: https://huntr.dev/bounties/419f4e8a-ee15-4f80-bcbf-5c83513515dd
- CVE-2021-44087: https://www.exploit-db.com/exploits/50801
- CVE-2021-45834: https://github.com/opendocman/opendocman/issues/326
- CVE-2021-46009: https://hackmd.io/-riYp6Q-ReCx-dKKWFBTLg
推薦閱讀
資安快訊:今日重要 CVE(2026-06-30)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2025-55130、CVE-2026-2757、CVE-2026-2758、CVE-2026-2759、CVE-2026-2760、CVE-2026-2761、CVE-2026-2762、CVE-2026-2763
資安快訊:今日重要 CVE(2026-07-01)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-49261、CVE-2026-48908、CVE-2026-48939、CVE-2026-50137、CVE-2026-54350、CVE-2026-58138、CVE-2026-7663、CVE-2026-7871
資安快訊:今日重要 CVE(2026-07-02)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-27606、CVE-2026-28802、CVE-2026-27459、CVE-2026-39892、CVE-2025-62718、CVE-2026-6722、CVE-2026-11720、CVE-2026-14241
資安快訊:今日重要 CVE(2026-07-03)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-27727、CVE-2026-5241、CVE-2026-13776、CVE-2026-13780、CVE-2026-13781、CVE-2026-13782、CVE-2026-13785、CVE-2026-14101
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...