今天需優先留意瀏覽器 JavaScript 引擎、zlib 壓縮函式庫,以及幾個可被未登入存取的伺服器端元件漏洞;若你的專案、內部工具或部署環境有用到這些套件,請先確認版本與存取限制。
CVE-2022-37434(嚴重度 CVSS 9.8)
影響
這個漏洞影響 zlib through 1.2.12,問題出在 inflate.c 的 inflate 處理流程:當 gzip header 的 extra field 很大時,可能造成 heap-based buffer over-read 或 buffer overflow。
需要特別注意的是:只有會呼叫 inflateGetHeader 的應用程式受影響。部分常見應用雖然 bundle 了受影響的 zlib source code,但可能無法呼叫 inflateGetHeader。
該做什麼
如果你的專案、系統套件或內嵌元件使用 zlib,請確認是否使用 zlib through 1.2.12,並檢查應用是否會呼叫 inflateGetHeader。若受影響,請升級 zlib,或透過作業系統/發行版套件更新取得修補版本。
CVE-2024-23687(嚴重度 CVSS 9.1)
影響
這個漏洞影響 FOLIO mod-data-export-spring:1.5.4 之前版本,以及 2.0.0 到 2.0.2。
問題是 hard-coded credentials,會讓未登入使用者存取 critical APIs,並可能修改 user data、設定包含 single-sign-on,甚至操作 fees/fines。
該做什麼
如果你維護的系統使用 FOLIO mod-data-export-spring,請升級到 1.5.4 或更新版本。若仍在 2.0.0 到 2.0.2 範圍內,請優先升級,並檢查是否有不應存在的資料、SSO 設定或費用相關變更。
CVE-2024-36265(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Apache Submarine Server Core,自 0.8.0 起受影響。
攻擊者可以透過特製 REST requests 繞過 authentication。官方說明指出,Apache Submarine 專案已 retired,不會釋出修補版本。
該做什麼
如果你仍在使用 Apache Submarine Server Core,建議改用替代方案。若暫時無法替換,請限制 instance 只能由 trusted users 存取,不要讓未受信任使用者或公開網路直接連到該服務。
CVE-2024-11680(嚴重度 CVSS 9.8)
影響
這個漏洞影響 ProjectSend r1720 之前版本。
遠端未登入攻擊者可以送出特製 HTTP requests 到 options.php,未授權修改應用程式設定。成功利用後,可能建立帳號、上傳 webshell,或嵌入惡意 JavaScript。
該做什麼
如果你有部署 ProjectSend,請確認版本是否早於 r1720。若是,請升級到 r1720 或更新版本,並檢查應用設定、帳號、上傳檔案與頁面內容是否有異常變更。
CVE-2025-10585(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Google Chrome 140.0.7339.185 之前版本的 V8。問題是 type confusion,遠端攻擊者可能透過特製 HTML page 觸發 heap corruption。
對開發者來說,這影響日常使用的瀏覽器,也可能影響以 Chromium / Chrome 作為測試或操作環境的工作流程。
該做什麼
請將 Google Chrome 升級到 140.0.7339.185 或更新版本。若你的自動化測試、瀏覽器工具或內部環境固定使用舊版 Chrome,也請同步更新。
CVE-2026-2764(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird 的 JavaScript Engine: JIT component。問題包含 JIT miscompilation 與 use-after-free。
此漏洞已在 Firefox 148、Firefox ESR 115.33、Firefox ESR 140.8、Thunderbird 148、Thunderbird 140.8 修復。
該做什麼
請將 Firefox 升級到 148 或對應 ESR 修補版本;Thunderbird 請升級到 148 或 140.8。若你的開發、測試或日常工作環境使用 ESR 版本,請確認已更新到列出的修補版本。
CVE-2026-2765(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird 的 JavaScript Engine component,問題是 use-after-free。
此漏洞已在 Firefox 148、Firefox ESR 140.8、Thunderbird 148、Thunderbird 140.8 修復。
該做什麼
請更新 Firefox 至 148 或 Firefox ESR 140.8;Thunderbird 請更新至 148 或 140.8。若團隊內有固定瀏覽器版本的測試機或 CI 環境,也請一併檢查。
CVE-2026-2766(嚴重度 CVSS 9.8)
影響
這個漏洞影響 Firefox 與 Thunderbird 的 JavaScript Engine: JIT component,問題是 use-after-free。
此漏洞已在 Firefox 148、Firefox ESR 140.8、Thunderbird 148、Thunderbird 140.8 修復。
該做什麼
請將 Firefox 與 Thunderbird 更新到已修補版本。若你的工作流程依賴 Firefox / Thunderbird 的舊版部署,請避免繼續使用未修補版本處理不受信任的網頁或內容。
資料來源:NVD
推薦閱讀
資安快訊:今日重要 CVE(2026-07-09)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2022-26645、CVE-2022-28093、CVE-2022-27984、CVE-2022-27985、CVE-2022-30490、CVE-2022-36262、CVE-2022-37053、CVE-2022-36202
資安快訊:今日重要 CVE(2026-07-10)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-33211、CVE-2026-44774、CVE-2026-58025、CVE-2026-58122
資安快訊:今日重要 CVE(2026-07-11)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-32640、CVE-2026-41242、CVE-2026-44930、CVE-2026-15378、CVE-2026-59792、CVE-2026-61459
資安快訊:今日重要 CVE(2026-07-12)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-61445、CVE-2026-61447
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...