今日重點:多數漏洞集中在 PHP 網站系統與 CMS,包含檔案上傳、檔案包含、SQL injection、權限控管與指令注入;若你的專案、範本或內部工具使用這些元件,請優先檢查是否暴露在網路上。
CVE-2022-26645(嚴重度 CVSS 9.8)
影響
Online Banking System Protect v1.0 的「Upload Image」功能有遠端程式碼執行漏洞。攻擊者可透過上傳特製 PHP 檔案執行任意程式碼。
該做什麼
如果你有使用或部署 Online Banking System Protect v1.0,請立即停止讓未受信任使用者使用圖片上傳功能,並避免將此系統公開在網路上。檢查專案中是否允許上傳 PHP 檔案,必要時改用不受影響的版本或替代系統。
CVE-2022-28093(嚴重度 CVSS 9.8)
影響
SCBS Online Sports Venue Reservation System v1.0 有 local file inclusion 漏洞,攻擊者可透過特製 PHP 檔案執行任意程式碼。
該做什麼
如果你的場館預約、運動中心預約或範例專案使用 SCBS Online Sports Venue Reservation System v1.0,請不要直接公開部署。檢查是否有檔案包含功能可被使用者輸入控制,並改用不受影響的版本或替代方案。
CVE-2022-27984(嚴重度 CVSS 9.8)
影響
CuppaCMS v1.0 在 /administrator/templates/default/html/windows/right.php 的 menu_filter 參數存在 SQL injection 漏洞。
該做什麼
如果你使用 CuppaCMS v1.0,請優先檢查後台管理介面是否可被外部存取。限制 /administrator/ 存取範圍,避免直接公開管理後台,並改用已修補版本或替代 CMS。
CVE-2022-27985(嚴重度 CVSS 9.8)
影響
CuppaCMS v1.0 的 /administrator/alerts/alertLightbox.php 存在 SQL injection 漏洞。
該做什麼
如果你使用 CuppaCMS v1.0,請檢查是否仍保留此後台檔案。限制管理介面存取,避免讓未授權使用者碰到 /administrator/alerts/alertLightbox.php,並改用已修補版本或替代 CMS。
CVE-2022-30490(嚴重度 CVSS 9.8)
影響
Badminton Center Management System V1.0 在 /bcms/admin/court_rentals/update_status.php 的 id 參數存在 SQL injection 漏洞。
該做什麼
如果你的羽球場、場地租借或內部管理系統使用 Badminton Center Management System V1.0,請檢查 /bcms/admin/ 是否暴露在網路上。限制後台存取,避免讓外部使用者操作 id 參數,並改用不受影響的版本或替代系統。
CVE-2022-36262(嚴重度 CVSS 9.8)
影響
taocms 3.0.2 的網站設定功能可透過修改 config.php 注入任意 PHP 程式碼。
該做什麼
如果你使用 taocms 3.0.2,請檢查網站設定功能是否可被未授權或低權限使用者操作。限制設定頁面存取,檢查 config.php 是否被異常修改,並改用不受影響的版本或替代 CMS。
CVE-2022-37053(嚴重度 CVSS 9.8)
影響
TRENDnet TEW733GR v1.03B01 韌體在 /htdocs/upnpinc/gena.php 存在 command injection 漏洞。
該做什麼
如果你的開發、測試或辦公網路使用 TRENDnet TEW733GR v1.03B01,請檢查路由器韌體版本。避免將管理介面暴露在網際網路上,並改用不受影響的韌體版本或設備。
CVE-2022-36202(嚴重度 CVSS 9.8)
影響
Doctor’s Appointment System 1.0 的 edoc/patient/settings.php 存在錯誤存取控制問題。id 參數受到 Broken Access Control(IDOR)影響。
該做什麼
如果你的診所預約、病患系統或範例專案使用 Doctor’s Appointment System 1.0,請檢查 edoc/patient/settings.php 是否會依照 id 參數存取其他使用者資料。避免公開部署未修補版本,並改用不受影響的版本或替代系統。
資料來源:NVD
- https://nvd.nist.gov/vuln/detail/CVE-2022-26645
- https://nvd.nist.gov/vuln/detail/CVE-2022-28093
- https://nvd.nist.gov/vuln/detail/CVE-2022-27984
- https://nvd.nist.gov/vuln/detail/CVE-2022-27985
- https://nvd.nist.gov/vuln/detail/CVE-2022-30490
- https://nvd.nist.gov/vuln/detail/CVE-2022-36262
- https://nvd.nist.gov/vuln/detail/CVE-2022-37053
- https://nvd.nist.gov/vuln/detail/CVE-2022-36202
推薦閱讀
資安快訊:今日重要 CVE(2026-07-03)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-27727、CVE-2026-5241、CVE-2026-13776、CVE-2026-13780、CVE-2026-13781、CVE-2026-13782、CVE-2026-13785、CVE-2026-14101
資安快訊:今日重要 CVE(2026-07-04)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-9725、CVE-2026-58289
資安快訊:今日重要 CVE(2026-07-05)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2020-24913、CVE-2020-24914、CVE-2021-28860、CVE-2020-25912、CVE-2021-42216、CVE-2021-44087、CVE-2021-45834、CVE-2021-46009
資安快訊:今日重要 CVE(2026-07-06)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2022-29347、CVE-2021-42675、CVE-2022-31382、CVE-2022-31383、CVE-2022-31384、CVE-2022-37257、CVE-2022-36536、CVE-2022-35156
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...