今天的重點是:多個高風險漏洞都落在開發者常用的 Python/JavaScript 套件、Java 服務框架、AI/LLM 周邊元件、IDE,以及 Kubernetes MCP 工具上,請優先檢查依賴與工具版本。
CVE-2026-32640(嚴重度 CVSS 9.8)
影響
simpleeval 是 Python 專案中用來加入「可被求值的表達式」的函式庫。1.0.5 之前版本的 sandbox 可能讓傳入的物件洩漏危險模組,或讓危險函式/模組透過 callback 被存取。
如果你的 Python 專案有使用 simpleeval 來處理使用者可控制的表達式、規則、公式或條件判斷,這個漏洞需要優先處理。
該做什麼
將 simpleeval 升級到 1.0.5 或更新版本。同時檢查你傳給 SimpleEval 的 names 物件,避免把帶有敏感屬性、模組或危險物件的內容暴露進可求值環境。
CVE-2026-41242(嚴重度 CVSS 9.8)
影響
protobufjs 會把 protobuf definitions 編譯成 JavaScript 函式。8.0.1 與 7.5.5 之前版本中,攻擊者可在 protobuf definition 的 type 欄位注入任意程式碼,並在使用該 definition 進行 object decoding 時執行。
如果你的 Node.js、前端、後端或工具鏈有用 protobufjs 解析外部提供的 protobuf definitions,風險特別高。
該做什麼
升級到 protobufjs 8.0.1 或 7.5.5。如果你的系統會接收外部 protobuf definitions,請優先部署更新,並確認 lockfile 中實際安裝版本已更新。
CVE-2026-44930(嚴重度 CVSS 9.8)
影響
Apache CXF 的 XKMS server 中,LDAP Certificate repository 存在 LDAP injection 漏洞,可能讓攻擊者從 repository 取回任意憑證。
如果你的 Java 服務使用 Apache CXF,且有部署 XKMS server 或 LDAP Certificate repository,這項漏洞需要立即檢查。
該做什麼
升級 Apache CXF 到修正版:4.2.1、4.1.6 或 3.6.11。如果你沒有使用 XKMS server 或 LDAP Certificate repository,也建議確認相關功能是否啟用,避免暴露不必要的攻擊面。
CVE-2026-15378(嚴重度 CVSS 9.3)
影響
guardrails-detectors component 存在 blind SSRF 漏洞。遠端攻擊者可提交特製 XML Schema Definition(XSD)字串,導致系統連到內部網路端點,可能接觸 cloud metadata services、Kubernetes API、internal MinIO 等敏感位置;描述中也指出可造成本機檔案讀取,例如 service account tokens 與 pod secrets。
如果你的 AI/LLM 防護、內容檢測或 guardrails 流程中使用 guardrails-detectors,且會處理外部提供的 XSD 字串,請優先處理。
該做什麼
檢查是否使用受影響的 guardrails-detectors component,並依供應商公告更新。若暫時無法更新,應避免讓外部輸入直接進入會解析 XSD 的流程,並限制該服務對 cloud metadata、Kubernetes API、內部 MinIO 與其他內部端點的網路存取。
CVE-2026-59792(嚴重度 CVSS 9.6)
影響
JetBrains IntelliJ IDEA 在 2026.1.4 之前版本中,project workspace ID handling 的 path traversal 可能導致 code execution。
如果你使用 IntelliJ IDEA 開啟不可信任或外部取得的專案,這個漏洞特別需要注意。
該做什麼
將 IntelliJ IDEA 升級到 2026.1.4 或更新版本。在升級前,避免用舊版 IntelliJ IDEA 開啟來源不明或不可信任的專案資料夾。
CVE-2026-61459(嚴重度 CVSS 9.8)
影響
MCP Server Kubernetes 在 3.9.0 之前版本中,structured tools(kubectl_get、kubectl_describe、kubectl_delete)存在 argument injection 漏洞。攻擊者可透過帶有前導 dash 的 resourceType 與 name 參數繞過 assertNoDangerousFlags 檢查,注入 --server flag,讓 kubectl 指令連到攻擊者控制的 API server,進而外傳 operator 的 bearer token,造成完整 cluster compromise。
如果你用 MCP server 讓 AI agent 操作 Kubernetes,這是今日最需要優先處理的漏洞之一。
該做什麼
將 MCP Server Kubernetes 升級到 3.9.0 或更新版本。在升級前,避免讓不可信任輸入進入 kubectl_get、kubectl_describe、kubectl_delete 這類 structured tools,並檢查 MCP server 使用的 Kubernetes token 權限是否過大。
資料來源:NVD
推薦閱讀
資安快訊:今日重要 CVE(2026-07-05)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2020-24913、CVE-2020-24914、CVE-2021-28860、CVE-2020-25912、CVE-2021-42216、CVE-2021-44087、CVE-2021-45834、CVE-2021-46009
資安快訊:今日重要 CVE(2026-07-06)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2022-29347、CVE-2021-42675、CVE-2022-31382、CVE-2022-31383、CVE-2022-31384、CVE-2022-37257、CVE-2022-36536、CVE-2022-35156
資安快訊:今日重要 CVE(2026-07-07)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-58521
資安快訊:今日重要 CVE(2026-07-08)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-14363、CVE-2026-14345、CVE-2026-58473、CVE-2026-59706
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...