今日重要 CVE 多集中在開發者常用的 CMS、WordPress 外掛與 AI/LLM 工具;如果你有自架 MediaWiki、WooCommerce funnel、Cognee 或 mem0,請優先檢查版本與設定。
CVE-2026-14363(嚴重度 CVSS 9.8)
影響
這是 MediaWiki 的 Cargo Extension SQL injection 漏洞。會影響使用 MediaWiki 並安裝 Cargo Extension 的站台;雖然受影響產品列到 cargo、mediawiki,實際描述指向的是 Wikimedia Foundation MediaWiki 的 Cargo Extension。
受影響版本為 MediaWiki Cargo Extension 在 1.43.9、1.44.6、1.45.4 之前的版本。
該做什麼
如果你的 wiki 有安裝 Cargo Extension,請升級到不受影響版本:1.43.9、1.44.6、1.45.4 或更新版本。若你不確定是否使用 Cargo Extension,先檢查 MediaWiki extensions 清單。
CVE-2026-14345(嚴重度 CVSS 9.8)
影響
這是 WordPress 外掛 WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell 的遠端程式碼執行漏洞,影響 3.12.7 以及更早版本。
漏洞和 postData 參數有關:攻擊者控制的內容可能被寫入可被 PHP include 的 .log 檔,再由外掛的 Log Settings View UI 透過 include_once 顯示。描述中特別指出,利用條件包含「Enable Logs」開啟,且管理員之後打開被污染的 log 檔;但注入步驟本身可由未登入攻擊者完成。
該做什麼
如果你的 WordPress / WooCommerce 網站有安裝 WPFunnels,請立即檢查版本,避免停留在 3.12.7 或更早版本。若尚未完成修補,請檢查外掛的 Log Settings,避免開啟「Enable Logs」,並避免在管理介面打開可疑 log。
CVE-2026-58473(嚴重度 CVSS 9.1)
影響
這是 Cognee 1.2.0 之前版本的不當存取控制漏洞。Cognee 是和 LLM、文件、實體抽取、知識圖譜相關的工具;如果你用它來處理 prompt、上傳文件或知識庫內容,這個漏洞特別需要注意。
漏洞允許未認證攻擊者自行註冊帳號,呼叫 settings endpoint,覆寫全域 LLM provider 設定。因為該 endpoint 沒有檢查 admin 或 superuser 權限,攻擊者可把整個 instance 的 LLM 操作導向自己控制的 endpoint,可能外洩 prompts、上傳文件、抽取出的 entities 與 knowledge graph 內容。
該做什麼
如果你部署 Cognee,請升級到 1.2.0 或更新版本。若你的 Cognee instance 曾對外開放註冊或 settings endpoint,請檢查 LLM provider 設定是否被改動,並評估 prompts、文件與知識圖譜內容是否可能已被暴露。
CVE-2026-59706(嚴重度 CVSS 9.3)
影響
這是 mem0 的未認證 config API 漏洞。mem0 是 AI memory / LLM 相關工具;如果你的服務用它保存或管理 LLM 設定,這個漏洞會直接影響 API key 與內部網路安全。
漏洞描述指出,未認證的 config API endpoints 會以明文暴露 LLM API keys,並允許攻擊者透過可控制的 ollama_base_url 參數造成 SSRF。攻擊者可透過 GET /api/v1/config/ 取得 OpenAI API key 等 secrets,也可透過 PUT /api/v1/config/mem0/llm 將 ollama_base_url 指向內部位址,例如 cloud IMDS。
該做什麼
如果你有部署 mem0,請檢查是否暴露 /api/v1/config/ 與 /api/v1/config/mem0/llm 這類 config API。不要讓這些 endpoint 對未認證使用者開放。若懷疑 endpoint 曾被外部存取,請輪換已儲存在 mem0 設定中的 LLM API keys,並檢查是否有不明的 ollama_base_url 設定。
資料來源:NVD
- CVE-2026-14363:https://nvd.nist.gov/vuln/detail/CVE-2026-14363
- CVE-2026-14345:https://nvd.nist.gov/vuln/detail/CVE-2026-14345
- CVE-2026-58473:https://nvd.nist.gov/vuln/detail/CVE-2026-58473
- CVE-2026-59706:https://nvd.nist.gov/vuln/detail/CVE-2026-59706
推薦閱讀
資安快訊:今日重要 CVE(2026-07-02)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-27606、CVE-2026-28802、CVE-2026-27459、CVE-2026-39892、CVE-2025-62718、CVE-2026-6722、CVE-2026-11720、CVE-2026-14241
資安快訊:今日重要 CVE(2026-07-03)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-27727、CVE-2026-5241、CVE-2026-13776、CVE-2026-13780、CVE-2026-13781、CVE-2026-13782、CVE-2026-13785、CVE-2026-14101
資安快訊:今日重要 CVE(2026-07-04)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-9725、CVE-2026-58289
資安快訊:今日重要 CVE(2026-07-05)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2020-24913、CVE-2020-24914、CVE-2021-28860、CVE-2020-25912、CVE-2021-42216、CVE-2021-44087、CVE-2021-45834、CVE-2021-46009
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...