今日重點是 Java 醫療資料處理、PHP Twig 模板沙盒,以及自架 API 伺服器的高風險漏洞;如果你的專案有處理不可信 XML、讓使用者提交 Twig 模板,或部署 clawvet self-hosted API,請優先確認版本與設定。
CVE-2026-55471(嚴重度 CVSS 9.1)
影響
這個漏洞影響 hl7_fhir_core,也就是 HAPI FHIR 使用的 HL7 FHIR Java 核心實作。HAPI FHIR 常見於醫療互通、FHIR 資料處理與 Java 後端服務。
在 6.9.10 之前,org.hl7.fhir.utilities.XsltUtilities 的 saxonTransform(...) 相關方法建立 Saxon TransformerFactoryImpl 時,沒有設定限制外部 DTD 或外部 stylesheet。若攻擊者能控制或竄改被轉換的 XML,可能觸發 XXE,造成本機檔案洩漏,或讓伺服器對可連到的任意 URL 發出請求。
該做什麼
如果你的 Java 專案使用 HAPI FHIR / hl7_fhir_core,請升級到 6.9.10 或更新版本。
若你的服務會轉換外部來源 XML,也應確認輸入來源是否可信,並避免讓未經信任的 XML 直接進入 XSLT 轉換流程。
CVE-2026-48805(嚴重度 CVSS 9.1)
影響
這個漏洞影響 PHP 模板語言 Twig。如果你的 PHP 專案使用 Twig sandbox 來限制使用者可執行的模板邏輯,就需要特別注意。
在 3.27.0 之前,Twig 內部已棄用的 wrapper 沒有把目前 sandbox 狀態正確傳給 CoreExtension::checkArrow()、arraySome()、arrayEvery()。這會讓像 twig_array_some()、twig_array_every()、twig_check_arrow_in_sandbox() 這類舊呼叫繞過 sandbox 的 callable 限制。
該做什麼
如果你的 PHP 專案使用 Twig,請升級到 Twig 3.27.0 或更新版本。
如果你有讓使用者提交、編輯或間接控制 Twig 模板,請優先升級;這類情境通常更依賴 sandbox 的限制是否正確生效。
CVE-2026-48806(嚴重度 CVSS 9.1)
影響
這個漏洞同樣影響 PHP 模板語言 Twig,尤其是使用 Twig sandbox 的專案。
在 3.27.0 之前,ArrayExpression 沒有保護會被轉成字串的動態 mapping key。當 Stringable 物件被當成 mapping key 時,PHP 可能呼叫 __toString(),但沒有經過 SandboxExtension::ensureToStringAllowed() 檢查,導致 sandbox 政策沒有被正確套用。
該做什麼
請將 Twig 升級到 3.27.0 或更新版本。
如果你的應用允許不可信模板,或模板內容可能來自使用者、外掛、CMS 後台輸入,請把這次升級列為高優先事項。
CVE-2026-48807(嚴重度 CVSS 9.1)
影響
這個漏洞也影響 PHP Twig 的 sandbox 機制。
在 3.27.0 之前,sandbox 對 __toString() 的檢查沒有完整涵蓋傳給 join、replace filter 的 Traversable 值,也沒有完整涵蓋 in、not in 運算子處理的值。這可能讓其中包含的 Stringable 物件被轉成字串時,沒有先檢查 sandbox policy。
該做什麼
請升級到 Twig 3.27.0 或更新版本。
如果你的 PHP 專案沒有使用 Twig sandbox,風險情境會不同;但只要有使用 Twig,仍建議盡快更新,避免未來模板功能或依賴套件使用到受影響路徑。
CVE-2026-62241(嚴重度 CVSS 9.1)
影響
這個漏洞影響 clawvet self-hosted API server 的 apps/api,版本為 0.7.5 之前。官方說明特別指出,發布在 npm 上的 clawvet 套件是 CLI,不受影響。
受影響的 self-hosted API server 在 auth.ts 中硬編碼 fallback JWT secret:clawvet-dev-secret-change-me,並且把它作為 .env.example 的預設值。由於 GET /api/v1/scans 會在未登入狀態回傳包含 userId 的掃描紀錄,遠端未驗證攻擊者可以取得受害者 userId,再用已知 secret 離線偽造有效的 HS256 cg_session cookie,呼叫 GET /api/v1/auth/me 取得受害者 email、subscription plan 與 secret apiKey。
該做什麼
如果你有部署 clawvet self-hosted API server,請升級到 0.7.5 或更新版本。
同時確認部署環境沒有使用 .env.example 裡的預設 JWT secret。若曾使用受影響版本部署,應更換 JWT secret,並檢查是否需要輪換已暴露風險的 apiKey。
資料來源:NVD
- CVE-2026-55471:https://github.com/hapifhir/org.hl7.fhir.core/security/advisories/GHSA-2f55-g35j-5jmf
- CVE-2026-48805:https://github.com/twigphp/Twig/security/advisories/GHSA-p42q-9prx-q5wq
- CVE-2026-48806:https://github.com/twigphp/Twig/security/advisories/GHSA-5v5v-ww74-355v
- CVE-2026-48807:https://github.com/twigphp/Twig/security/advisories/GHSA-8x9c-rmqh-456c
- CVE-2026-62241:https://github.com/MohibShaikh/clawvet/security/advisories/GHSA-9mww-p953-jfc9
推薦閱讀
資安快訊:今日重要 CVE(2026-07-11)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-32640、CVE-2026-41242、CVE-2026-44930、CVE-2026-15378、CVE-2026-59792、CVE-2026-61459
資安快訊:今日重要 CVE(2026-07-12)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-61445、CVE-2026-61447
資安快訊:今日重要 CVE(2026-07-13)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-56260
資安快訊:今日重要 CVE(2026-07-14)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-61498、CVE-2026-59801、CVE-2026-62327
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...