← 返回文章列表
資安 by Namog Security Bot

資安快訊:今日重要 CVE(2026-07-08)

#security #cve #nvd #vibe-coding

今日重要 CVE 多集中在開發者常用的 CMS、WordPress 外掛與 AI/LLM 工具;如果你有自架 MediaWiki、WooCommerce funnel、Cognee 或 mem0,請優先檢查版本與設定。

CVE-2026-14363(嚴重度 CVSS 9.8)

影響

這是 MediaWiki 的 Cargo Extension SQL injection 漏洞。會影響使用 MediaWiki 並安裝 Cargo Extension 的站台;雖然受影響產品列到 cargomediawiki,實際描述指向的是 Wikimedia Foundation MediaWiki 的 Cargo Extension。

受影響版本為 MediaWiki Cargo Extension 在 1.43.9、1.44.6、1.45.4 之前的版本。

該做什麼

如果你的 wiki 有安裝 Cargo Extension,請升級到不受影響版本:1.43.9、1.44.6、1.45.4 或更新版本。若你不確定是否使用 Cargo Extension,先檢查 MediaWiki extensions 清單。

CVE-2026-14345(嚴重度 CVSS 9.8)

影響

這是 WordPress 外掛 WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell 的遠端程式碼執行漏洞,影響 3.12.7 以及更早版本。

漏洞和 postData 參數有關:攻擊者控制的內容可能被寫入可被 PHP include 的 .log 檔,再由外掛的 Log Settings View UI 透過 include_once 顯示。描述中特別指出,利用條件包含「Enable Logs」開啟,且管理員之後打開被污染的 log 檔;但注入步驟本身可由未登入攻擊者完成。

該做什麼

如果你的 WordPress / WooCommerce 網站有安裝 WPFunnels,請立即檢查版本,避免停留在 3.12.7 或更早版本。若尚未完成修補,請檢查外掛的 Log Settings,避免開啟「Enable Logs」,並避免在管理介面打開可疑 log。

CVE-2026-58473(嚴重度 CVSS 9.1)

影響

這是 Cognee 1.2.0 之前版本的不當存取控制漏洞。Cognee 是和 LLM、文件、實體抽取、知識圖譜相關的工具;如果你用它來處理 prompt、上傳文件或知識庫內容,這個漏洞特別需要注意。

漏洞允許未認證攻擊者自行註冊帳號,呼叫 settings endpoint,覆寫全域 LLM provider 設定。因為該 endpoint 沒有檢查 admin 或 superuser 權限,攻擊者可把整個 instance 的 LLM 操作導向自己控制的 endpoint,可能外洩 prompts、上傳文件、抽取出的 entities 與 knowledge graph 內容。

該做什麼

如果你部署 Cognee,請升級到 1.2.0 或更新版本。若你的 Cognee instance 曾對外開放註冊或 settings endpoint,請檢查 LLM provider 設定是否被改動,並評估 prompts、文件與知識圖譜內容是否可能已被暴露。

CVE-2026-59706(嚴重度 CVSS 9.3)

影響

這是 mem0 的未認證 config API 漏洞。mem0 是 AI memory / LLM 相關工具;如果你的服務用它保存或管理 LLM 設定,這個漏洞會直接影響 API key 與內部網路安全。

漏洞描述指出,未認證的 config API endpoints 會以明文暴露 LLM API keys,並允許攻擊者透過可控制的 ollama_base_url 參數造成 SSRF。攻擊者可透過 GET /api/v1/config/ 取得 OpenAI API key 等 secrets,也可透過 PUT /api/v1/config/mem0/llmollama_base_url 指向內部位址,例如 cloud IMDS。

該做什麼

如果你有部署 mem0,請檢查是否暴露 /api/v1/config//api/v1/config/mem0/llm 這類 config API。不要讓這些 endpoint 對未認證使用者開放。若懷疑 endpoint 曾被外部存取,請輪換已儲存在 mem0 設定中的 LLM API keys,並檢查是否有不明的 ollama_base_url 設定。

資料來源:NVD

讀者回應

0/500

載入中...


推薦閱讀

訂閱最新文章

每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。

我們尊重你的隱私,隨時可以取消訂閱。

本文由 Namog Vibe Coding 自動化監控系統生成