今日重點:這批高風險漏洞多集中在 PHP 後台系統、檔案上傳功能、SQL 查詢參數,以及一個 npm 套件的 prototype pollution;如果你的專案或客戶系統有用到下列元件,請優先盤點並處理。
CVE-2022-29347(嚴重度 CVSS 9.8)
影響
Web@rchiv 1.0 存在任意檔案上傳漏洞。攻擊者可以上傳特製 PHP 檔案,進而執行任意命令。
如果你維護的網站、後台或舊 PHP 系統有使用 Web@rchiv,這屬於需要立即處理的遠端命令執行風險。
該做什麼
確認是否使用 Web@rchiv 1.0。若有,請優先升級到已修補版本;若沒有可用修補版本,應停用或隔離該系統,至少不要讓檔案上傳功能暴露在公開網路上。
CVE-2021-42675(嚴重度 CVSS 9.8)
影響
Kreado Kreasfero 1.5 對上傳到 media 目錄的檔案沒有正確清理。攻擊者可以上傳惡意 PHP 檔案並取得遠端程式碼執行能力。
如果你的網站或 CMS 類系統有使用 Kreasfero,特別是有開放媒體上傳功能,風險很高。
該做什麼
確認是否使用 Kreado Kreasfero 1.5。若有,請升級到修補版本;在修補前,停用媒體上傳功能,或限制只有可信任管理者能上傳檔案,並避免讓該服務直接對外開放。
CVE-2022-31382(嚴重度 CVSS 9.8)
影響
Directory Management System v1.0 在 search-dirctory.php 的 searchdata 參數存在 SQL injection 漏洞。
如果你的專案有使用這套 PHP 目錄管理系統,搜尋功能可能被用來操作資料庫查詢。
該做什麼
確認是否使用 Directory Management System v1.0。若有,請升級到修補版本;若需要自行維護,應修正 searchdata 的 SQL 查詢處理,改用參數化查詢,不要直接把使用者輸入拼進 SQL。
CVE-2022-31383(嚴重度 CVSS 9.8)
影響
Directory Management System v1.0 在 view-directory.php 的 editid 參數存在 SQL injection 漏洞。
這代表檢視或編輯目錄資料時,攻擊者可能透過 editid 影響後端 SQL 查詢。
該做什麼
確認是否使用 Directory Management System v1.0。若有,請升級到修補版本;若必須自行修補,請檢查 view-directory.php 中 editid 的處理方式,改用參數化查詢並限制輸入格式。
CVE-2022-31384(嚴重度 CVSS 9.8)
影響
Directory Management System v1.0 在 add-directory.php 的 fullname 參數存在 SQL injection 漏洞。
如果你的系統允許新增目錄資料,攻擊者可能透過姓名欄位影響資料庫查詢。
該做什麼
確認是否使用 Directory Management System v1.0。若有,請升級到修補版本;若需要自行修補,請檢查新增資料流程,確保 fullname 使用參數化查詢處理,不要直接拼接 SQL。
CVE-2022-37257(嚴重度 CVSS 9.8)
影響
stealjs 的 steal 2.2.4 在 npm-convert.js 的 convertLater 函式中存在 prototype pollution 漏洞,問題與 requestedVersion 變數有關。
如果你的 JavaScript 專案或建置流程仍使用 steal 2.2.4,需要特別注意。
該做什麼
檢查 package.json、lockfile 與依賴樹,確認是否使用 steal 2.2.4。若有,請升級到已修補版本;若暫時無法升級,應評估移除或替換該依賴,避免在不可信輸入上觸發相關處理流程。
CVE-2022-36536(嚴重度 CVSS 9.8)
影響
Syncovery 9 for Linux v9.47x 及以下版本,在 post_applogin.php 元件中存在問題。攻擊者可透過建立特製 session token 來提升權限。
如果你在 Linux 伺服器上使用 Syncovery 做同步、備份或檔案傳輸管理,這是高優先級風險。
該做什麼
確認 Syncovery for Linux 版本是否為 v9.47x 或更舊。若是,請升級到修補版本;在修補前,限制管理介面的存取來源,避免讓登入相關介面直接暴露在公開網路上。
CVE-2022-35156(嚴重度 CVSS 9.8)
影響
Bus Pass Management System 1.0 在 /buspassms/download-pass.php 的 searchdata 參數存在 SQL injection 漏洞。
如果你維護的是 PHP 管理系統、票證系統或下載通行證相關功能,且使用這套系統,搜尋下載流程可能影響資料庫查詢。
該做什麼
確認是否使用 Bus Pass Management System 1.0。若有,請升級到修補版本;若需要自行維護,請修正 /buspassms/download-pass.php 中 searchdata 的 SQL 查詢處理,改用參數化查詢。
資料來源:NVD
- https://nvd.nist.gov/vuln/detail/CVE-2022-29347
- https://nvd.nist.gov/vuln/detail/CVE-2021-42675
- https://nvd.nist.gov/vuln/detail/CVE-2022-31382
- https://nvd.nist.gov/vuln/detail/CVE-2022-31383
- https://nvd.nist.gov/vuln/detail/CVE-2022-31384
- https://nvd.nist.gov/vuln/detail/CVE-2022-37257
- https://nvd.nist.gov/vuln/detail/CVE-2022-36536
- https://nvd.nist.gov/vuln/detail/CVE-2022-35156
推薦閱讀
資安快訊:今日重要 CVE(2026-06-30)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2025-55130、CVE-2026-2757、CVE-2026-2758、CVE-2026-2759、CVE-2026-2760、CVE-2026-2761、CVE-2026-2762、CVE-2026-2763
資安快訊:今日重要 CVE(2026-07-01)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-49261、CVE-2026-48908、CVE-2026-48939、CVE-2026-50137、CVE-2026-54350、CVE-2026-58138、CVE-2026-7663、CVE-2026-7871
資安快訊:今日重要 CVE(2026-07-02)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-27606、CVE-2026-28802、CVE-2026-27459、CVE-2026-39892、CVE-2025-62718、CVE-2026-6722、CVE-2026-11720、CVE-2026-14241
資安快訊:今日重要 CVE(2026-07-03)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-27727、CVE-2026-5241、CVE-2026-13776、CVE-2026-13780、CVE-2026-13781、CVE-2026-13782、CVE-2026-13785、CVE-2026-14101
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...