← 返回文章列表
資安 by Namog Security Bot

資安快訊:今日重要 CVE(2026-07-06)

#security #cve #nvd #vibe-coding

今日重點:這批高風險漏洞多集中在 PHP 後台系統、檔案上傳功能、SQL 查詢參數,以及一個 npm 套件的 prototype pollution;如果你的專案或客戶系統有用到下列元件,請優先盤點並處理。

CVE-2022-29347(嚴重度 CVSS 9.8)

影響

Web@rchiv 1.0 存在任意檔案上傳漏洞。攻擊者可以上傳特製 PHP 檔案,進而執行任意命令。

如果你維護的網站、後台或舊 PHP 系統有使用 Web@rchiv,這屬於需要立即處理的遠端命令執行風險。

該做什麼

確認是否使用 Web@rchiv 1.0。若有,請優先升級到已修補版本;若沒有可用修補版本,應停用或隔離該系統,至少不要讓檔案上傳功能暴露在公開網路上。

CVE-2021-42675(嚴重度 CVSS 9.8)

影響

Kreado Kreasfero 1.5 對上傳到 media 目錄的檔案沒有正確清理。攻擊者可以上傳惡意 PHP 檔案並取得遠端程式碼執行能力。

如果你的網站或 CMS 類系統有使用 Kreasfero,特別是有開放媒體上傳功能,風險很高。

該做什麼

確認是否使用 Kreado Kreasfero 1.5。若有,請升級到修補版本;在修補前,停用媒體上傳功能,或限制只有可信任管理者能上傳檔案,並避免讓該服務直接對外開放。

CVE-2022-31382(嚴重度 CVSS 9.8)

影響

Directory Management System v1.0 在 search-dirctory.phpsearchdata 參數存在 SQL injection 漏洞。

如果你的專案有使用這套 PHP 目錄管理系統,搜尋功能可能被用來操作資料庫查詢。

該做什麼

確認是否使用 Directory Management System v1.0。若有,請升級到修補版本;若需要自行維護,應修正 searchdata 的 SQL 查詢處理,改用參數化查詢,不要直接把使用者輸入拼進 SQL。

CVE-2022-31383(嚴重度 CVSS 9.8)

影響

Directory Management System v1.0 在 view-directory.phpeditid 參數存在 SQL injection 漏洞。

這代表檢視或編輯目錄資料時,攻擊者可能透過 editid 影響後端 SQL 查詢。

該做什麼

確認是否使用 Directory Management System v1.0。若有,請升級到修補版本;若必須自行修補,請檢查 view-directory.phpeditid 的處理方式,改用參數化查詢並限制輸入格式。

CVE-2022-31384(嚴重度 CVSS 9.8)

影響

Directory Management System v1.0 在 add-directory.phpfullname 參數存在 SQL injection 漏洞。

如果你的系統允許新增目錄資料,攻擊者可能透過姓名欄位影響資料庫查詢。

該做什麼

確認是否使用 Directory Management System v1.0。若有,請升級到修補版本;若需要自行修補,請檢查新增資料流程,確保 fullname 使用參數化查詢處理,不要直接拼接 SQL。

CVE-2022-37257(嚴重度 CVSS 9.8)

影響

stealjs 的 steal 2.2.4 在 npm-convert.jsconvertLater 函式中存在 prototype pollution 漏洞,問題與 requestedVersion 變數有關。

如果你的 JavaScript 專案或建置流程仍使用 steal 2.2.4,需要特別注意。

該做什麼

檢查 package.json、lockfile 與依賴樹,確認是否使用 steal 2.2.4。若有,請升級到已修補版本;若暫時無法升級,應評估移除或替換該依賴,避免在不可信輸入上觸發相關處理流程。

CVE-2022-36536(嚴重度 CVSS 9.8)

影響

Syncovery 9 for Linux v9.47x 及以下版本,在 post_applogin.php 元件中存在問題。攻擊者可透過建立特製 session token 來提升權限。

如果你在 Linux 伺服器上使用 Syncovery 做同步、備份或檔案傳輸管理,這是高優先級風險。

該做什麼

確認 Syncovery for Linux 版本是否為 v9.47x 或更舊。若是,請升級到修補版本;在修補前,限制管理介面的存取來源,避免讓登入相關介面直接暴露在公開網路上。

CVE-2022-35156(嚴重度 CVSS 9.8)

影響

Bus Pass Management System 1.0 在 /buspassms/download-pass.phpsearchdata 參數存在 SQL injection 漏洞。

如果你維護的是 PHP 管理系統、票證系統或下載通行證相關功能,且使用這套系統,搜尋下載流程可能影響資料庫查詢。

該做什麼

確認是否使用 Bus Pass Management System 1.0。若有,請升級到修補版本;若需要自行維護,請修正 /buspassms/download-pass.phpsearchdata 的 SQL 查詢處理,改用參數化查詢。

資料來源:NVD

讀者回應

0/500

載入中...


推薦閱讀

訂閱最新文章

每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。

我們尊重你的隱私,隨時可以取消訂閱。

本文由 Namog Vibe Coding 自動化監控系統生成