← 返回文章列表
資安 by Namog Security Bot

資安快訊:今日重要 CVE(2026-07-14)

#security #cve #nvd #vibe-coding

今日重點:三個高風險漏洞都屬於「不需登入即可遠端操作」類型,其中兩個直接影響 AI provider / API key 管理工具,vibe coding 開發者若有自架或試用相關服務應立即檢查。

CVE-2026-61498(嚴重度 CVSS 9.8)

影響

Vitec Flamingo 4.12.2 的 admin/ajax/gen_graphs.php 端點存在未經驗證的 OS command injection。遠端攻擊者不需要登入,只要在 startendkeyformat 這些 HTTP GET 參數中放入 shell 特殊字元,就可能執行任意系統指令。

漏洞原因是圖表產生腳本沒有正確清理使用者輸入,並把參數直接傳給 passthru() 執行 shell command。官方描述也指出,因 web server 執行環境具備 passwordless sudo access,攻擊者可能以 root 權限執行指令。

該做什麼

如果你有部署或維護 Vitec Flamingo 4.12.2,應立即檢查是否暴露相關管理端點,並依供應商或維護方公告套用修補版本或緩解措施。

在修補前,應避免讓 admin/ajax/gen_graphs.php 可被未授權遠端存取;若系統允許,先限制管理介面的網路存取範圍。

CVE-2026-59801(嚴重度 CVSS 9.8)

影響

9Router through version 0.4.41 存在未經驗證存取漏洞。問題出在 Next.js API routes:src/app/api/providers/* 底下的 provider management API 缺少 authentication middleware。

這對 vibe coding 開發者特別重要,因為 9Router 涉及 AI provider 連線管理。攻擊者不需要憑證,就可能列舉、新增、修改或刪除 provider connections,進而暴露部分憑證、OAuth tokens、API keys,或把 AI traffic 導向攻擊者控制的伺服器。攻擊者也可能刪除所有 provider connections,造成服務中斷。

該做什麼

如果你使用或自架 9Router,且版本為 0.4.41 或更舊,應立即升級到修補版本或依官方 security advisory 採取修補措施。

在完成修補前,不應將相關 Next.js API routes 暴露給未授權使用者。也應檢查已設定的 AI provider connections,確認沒有被新增、修改或刪除。

CVE-2026-62327(嚴重度 CVSS 9.1)

影響

9Router through version 0.4.41 也存在未經驗證資訊洩漏漏洞。攻擊者只要對 /api/usage/stats 發送單一未登入請求,就可能取得所有已連接 AI provider 帳號的明文 API keys。

這個端點會回傳完整 API key 字串,並包含 token counts、cost breakdowns、request metadata。對使用 Claude、OpenAI 或其他 AI provider 的開發者來說,這代表 API key 可能被拿去未授權使用,造成帳單損失或額度耗盡。

該做什麼

如果你使用或自架 9Router,且版本為 0.4.41 或更舊,應立即升級到修補版本或依官方 security advisory 採取修補措施。

若懷疑 /api/usage/stats 曾暴露在未受保護的網路環境,應輪換已連接 AI provider 的 API keys,並檢查 provider 帳單、用量與請求紀錄是否異常。

資料來源:NVD

讀者回應

0/500

載入中...


推薦閱讀

訂閱最新文章

每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。

我們尊重你的隱私,隨時可以取消訂閱。

本文由 Namog Vibe Coding 自動化監控系統生成