← 返回文章列表
資安 by Namog Security Bot

資安快訊:今日重要 CVE(2026-07-17)

#security #cve #nvd #vibe-coding

今日重點是 Java 醫療資料處理、PHP Twig 模板沙盒,以及自架 API 伺服器的高風險漏洞;如果你的專案有處理不可信 XML、讓使用者提交 Twig 模板,或部署 clawvet self-hosted API,請優先確認版本與設定。

CVE-2026-55471(嚴重度 CVSS 9.1)

影響

這個漏洞影響 hl7_fhir_core,也就是 HAPI FHIR 使用的 HL7 FHIR Java 核心實作。HAPI FHIR 常見於醫療互通、FHIR 資料處理與 Java 後端服務。

在 6.9.10 之前,org.hl7.fhir.utilities.XsltUtilitiessaxonTransform(...) 相關方法建立 Saxon TransformerFactoryImpl 時,沒有設定限制外部 DTD 或外部 stylesheet。若攻擊者能控制或竄改被轉換的 XML,可能觸發 XXE,造成本機檔案洩漏,或讓伺服器對可連到的任意 URL 發出請求。

該做什麼

如果你的 Java 專案使用 HAPI FHIR / hl7_fhir_core,請升級到 6.9.10 或更新版本。

若你的服務會轉換外部來源 XML,也應確認輸入來源是否可信,並避免讓未經信任的 XML 直接進入 XSLT 轉換流程。

CVE-2026-48805(嚴重度 CVSS 9.1)

影響

這個漏洞影響 PHP 模板語言 Twig。如果你的 PHP 專案使用 Twig sandbox 來限制使用者可執行的模板邏輯,就需要特別注意。

在 3.27.0 之前,Twig 內部已棄用的 wrapper 沒有把目前 sandbox 狀態正確傳給 CoreExtension::checkArrow()arraySome()arrayEvery()。這會讓像 twig_array_some()twig_array_every()twig_check_arrow_in_sandbox() 這類舊呼叫繞過 sandbox 的 callable 限制。

該做什麼

如果你的 PHP 專案使用 Twig,請升級到 Twig 3.27.0 或更新版本。

如果你有讓使用者提交、編輯或間接控制 Twig 模板,請優先升級;這類情境通常更依賴 sandbox 的限制是否正確生效。

CVE-2026-48806(嚴重度 CVSS 9.1)

影響

這個漏洞同樣影響 PHP 模板語言 Twig,尤其是使用 Twig sandbox 的專案。

在 3.27.0 之前,ArrayExpression 沒有保護會被轉成字串的動態 mapping key。當 Stringable 物件被當成 mapping key 時,PHP 可能呼叫 __toString(),但沒有經過 SandboxExtension::ensureToStringAllowed() 檢查,導致 sandbox 政策沒有被正確套用。

該做什麼

請將 Twig 升級到 3.27.0 或更新版本。

如果你的應用允許不可信模板,或模板內容可能來自使用者、外掛、CMS 後台輸入,請把這次升級列為高優先事項。

CVE-2026-48807(嚴重度 CVSS 9.1)

影響

這個漏洞也影響 PHP Twig 的 sandbox 機制。

在 3.27.0 之前,sandbox 對 __toString() 的檢查沒有完整涵蓋傳給 joinreplace filter 的 Traversable 值,也沒有完整涵蓋 innot in 運算子處理的值。這可能讓其中包含的 Stringable 物件被轉成字串時,沒有先檢查 sandbox policy。

該做什麼

請升級到 Twig 3.27.0 或更新版本。

如果你的 PHP 專案沒有使用 Twig sandbox,風險情境會不同;但只要有使用 Twig,仍建議盡快更新,避免未來模板功能或依賴套件使用到受影響路徑。

CVE-2026-62241(嚴重度 CVSS 9.1)

影響

這個漏洞影響 clawvet self-hosted API serverapps/api,版本為 0.7.5 之前。官方說明特別指出,發布在 npm 上的 clawvet 套件是 CLI,不受影響

受影響的 self-hosted API server 在 auth.ts 中硬編碼 fallback JWT secret:clawvet-dev-secret-change-me,並且把它作為 .env.example 的預設值。由於 GET /api/v1/scans 會在未登入狀態回傳包含 userId 的掃描紀錄,遠端未驗證攻擊者可以取得受害者 userId,再用已知 secret 離線偽造有效的 HS256 cg_session cookie,呼叫 GET /api/v1/auth/me 取得受害者 email、subscription plan 與 secret apiKey

該做什麼

如果你有部署 clawvet self-hosted API server,請升級到 0.7.5 或更新版本。

同時確認部署環境沒有使用 .env.example 裡的預設 JWT secret。若曾使用受影響版本部署,應更換 JWT secret,並檢查是否需要輪換已暴露風險的 apiKey

資料來源:NVD

讀者回應

0/500

載入中...


推薦閱讀

訂閱最新文章

每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。

我們尊重你的隱私,隨時可以取消訂閱。

本文由 Namog Vibe Coding 自動化監控系統生成