|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| Autodesk | Fusion | 1 | 惡意製作的 HTML 負載若存在於設計名稱中,當在刪除確認對話框中顯示並被使用者點擊時,可能會在 Autodesk Fusion 桌面應用程式中觸發儲存型跨站腳本(XSS)漏洞。攻擊者可利用此漏洞讀取本機檔案,或在目前程序的執行環境中執行任意程式碼。 | CVE-2026-0533
|
| Autodesk | Fusion | 1 | 惡意製作的 HTML 負載若儲存在零件屬性中,並被使用者點擊,可能會在 Autodesk Fusion 桌面應用程式中觸發儲存型跨站腳本(XSS)漏洞。攻擊者可利用此漏洞讀取本機檔案,或在目前程序的執行環境中執行任意程式碼。 | CVE-2026-0534
|
| Autodesk | Fusion | 1 | 惡意製作的 HTML 負載若儲存在元件描述中,並被使用者點擊,可能會在 Autodesk Fusion 桌面應用程式中觸發儲存型跨站腳本(XSS)漏洞。攻擊者可利用此漏洞讀取本機檔案,或在目前程序的執行環境中執行任意程式碼。 | CVE-2026-0535
|
| Cisco | Cisco Unified Communications Manager | 1 | Cisco Unified Communications Manager(Unified CM)、Unified CM Session Management Edition(Unified CM SME)、Unified CM IM & Presence Service(Unified CM IM&P)、Cisco Unity Connection 及 Cisco Webex Calling Dedicated Instance 中存在一項漏洞,可能允許未經驗證的遠端攻擊者在受影響裝置的底層作業系統上執行任意指令。此漏洞源於 HTTP 請求中對使用者輸入驗證不當。攻擊者可透過向受影響裝置的 Web 管理介面發送一連串特製的 HTTP 請求來利用此漏洞。成功利用後,攻擊者可取得作業系統的使用者層級存取權限,並進一步提升權限至 root。注意:Cisco 將此安全公告的安全影響評等(SIR)定為「Critical(嚴重)」,而非評分所顯示的「High(高)」,原因是此漏洞可能導致攻擊者將權限提升至 root。 | CVE-2026-20045
|
| Dell | ObjectScale | 1 | Dell ECS 版本 3.8.1.0 至 3.8.1.7,以及 Dell ObjectScale 4.2.0.0 之前的版本,在作業系統中包含使用預設帳密的漏洞。具有遠端存取權限的低權限攻擊者可能利用此漏洞,導致權限提升。 | CVE-2026-22273
|
| Dell | ObjectScale | 1 | Dell ECS 版本 3.8.1.0 至 3.8.1.7,以及 Dell ObjectScale 4.2.0.0 之前的版本,存在敏感資訊以明文傳輸的漏洞。未經驗證的遠端攻擊者可能利用此漏洞,導致資訊洩露。 | CVE-2026-22271
|
| Dell | PowerScale OneFS | 1 | Dell PowerScale OneFS 9.13.0.0 之前的版本存在未妥善限制過多驗證嘗試的漏洞。未經驗證的遠端攻擊者可能利用此漏洞,導致未授權存取。 | CVE-2026-22278
|
| Dell | Unisphere for PowerMax | 1 | Dell Unisphere for PowerMax 10.2.0.x 版本存在 SQL 指令中特殊字元未妥善處理(SQL Injection)的漏洞。具有遠端存取權限的低權限攻擊者可能利用此漏洞,導致指令執行。 | CVE-2025-36588
|
| IBM | ApplinX | 1 | IBM ApplinX 11.1 因未妥善驗證 JWT 權杖而存在權限提升漏洞。攻擊者可能可透過製作或修改 JSON Web Token 來冒充其他使用者或提升自身權限。 | CVE-2025-36418
|
| IBM | Concert | 1 | IBM Concert 1.0.0 至 2.1.0 因未驗證上傳至 Web 介面的檔案內容,而存在惡意檔案上傳漏洞。 | CVE-2025-33015
|
| IBM | IBM Licensing Operator | 1 | IBM Licensing Operator 對安全關鍵檔案指派了不正確的權限,可能允許在執行 IBM Licensing Operator 映像檔的容器內進行本機 root 權限提升。 | CVE-2025-12985
|
| IBM | Sterling Connect:Direct for UNIX Container | 1 | IBM Sterling Connect:Direct for UNIX 容器版本 6.3.0.0 至 6.3.0.6(Interim Fix 016),以及 6.4.0.0 至 6.4.0.3(Interim Fix 019) 中,包含硬編碼的憑證(例如密碼或加密金鑰)。這些憑證用於其自身的入站身分驗證、與外部元件的出站通訊,或內部資料的加密。 | CVE-2025-14115
|
| Microsoft | Azure Data Explorer | 1 | Azure Data Explorer 中存在敏感資訊洩露漏洞,允許未經授權的攻擊者透過網路揭露資訊。 | CVE-2026-21524
|
| Microsoft | Azure Front Door | 1 | Azure Front Door(AFD)中存在存取控制不當問題,允許未經授權的攻擊者透過網路進行權限提升。 | CVE-2026-24306
|
| Microsoft | Azure Logic Apps | 1 | Azure Logic Apps 中存在路徑遍歷(Path Traversal)漏洞,由於未妥善限制路徑至受限目錄,允許未經授權的攻擊者透過網路提升權限。 | CVE-2026-21227
|
| Microsoft | Azure Resource Manager | 1 | Azure Resource Manager 中存在存取控制不當漏洞,允許已授權的攻擊者透過網路進行權限提升。 | CVE-2026-24304
|
| Microsoft | Microsoft 365 Copilot | 1 | M365 Copilot 中對指定輸入類型的驗證不當,可能導致未經授權的攻擊者透過網路洩露資訊。 | CVE-2026-24307
|
| Microsoft | Microsoft 365 Word Copilot | 1 | Copilot 中對跳脫字元、中繼字元或控制字元的處理不當,可能導致未經授權的攻擊者透過網路洩露資訊。 | CVE-2026-21521
|
| Microsoft | Microsoft Account | 1 | Microsoft Account 中存在跨站腳本攻擊(XSS)漏洞,由於網頁產生過程中未正確處理輸入,允許未經授權的攻擊者透過網路進行身分偽造(Spoofing)。 | CVE-2026-21264
|
| Microsoft | Microsoft Copilot Studio | 1 | Copilot Studio 中存在敏感資訊洩露漏洞,允許未經驗證的攻擊者透過網路攻擊向量存取敏感資訊。 | CVE-2026-21520
|
| Microsoft | Microsoft Entra | 1 | Azure Entra ID 權限提升漏洞。 | CVE-2026-24305
|
| NVIDIA | CUDA Toolkit | 1 | NVIDIA Nsight Visual Studio for Windows 中的 Nsight Monitor 存在漏洞,攻擊者可以利用漏洞以與 NVIDIA Nsight Visual Studio Edition Monitor 應用程式相同的權限執行任意程式碼。成功利用此漏洞可能導致權限提升、程式碼執行、資料篡改、拒絕服務攻擊和資訊外洩。 | CVE-2025-33228
|
| NVIDIA | CUDA Toolkit | 1 | NVIDIA Nsight Systems for Linux 的 .run 安裝程式存在漏洞,攻擊者可以透過向安裝路徑中提供惡意字串來注入作業系統命令。成功利用此漏洞可能導致權限提升、程式碼執行、資料篡改、拒絕服務攻擊和資訊外洩。 | CVE-2025-33229
|
| NVIDIA | CUDA Toolkit | 1 | NVIDIA Nsight Systems for Linux 的 .run 安裝程式存在漏洞,攻擊者可以透過向安裝路徑中提供惡意字串來注入作業系統命令。成功利用此漏洞可能導致權限提升、程式碼執行、資料篡改、拒絕服務攻擊和資訊外洩。 | CVE-2025-33230
|
| NVIDIA | Merlin Transformers4Rec | 1 | NVIDIA Merlin Transformers4Rec 所有平台存在一個漏洞,攻擊者可利用此漏洞進行程式碼注入。成功利用此漏洞可能導致程式碼執行、權限提升、資訊外洩和資料篡改。 | CVE-2025-33233
|
| TOTOLINK | A3700R | 1 | TOTOLINK A3700R 9.1.2u.5822_B20200513 版本中存在一個漏洞。此漏洞影響檔案 /cgi-bin/cstecgi.cgi 中的 setWiFiEasyGuestCfg 函數。對參數 ssid 進行修改可能導致緩衝區溢位。該攻擊可遠端發動。該漏洞利用程式已公開,並可能被用於攻擊。 | CVE-2026-1143
|
| Totolink | LR350 | 1 | Totolink LR350 9.3.5u.6369_B20220309 版本中發現一個漏洞。此漏洞影響 /cgi-bin/cstecgi.cgi 檔案中的 setWiFiEasyGuestCfg 函數。攻擊者可以篡改參數 ssid,導致緩衝區溢位。該漏洞可遠端利用。該漏洞利用程序已公開,可供使用。 | CVE-2026-1155
|
| Totolink | LR350 | 1 | Totolink LR350 9.3.5u.6369_B20220309 版本中存在漏洞。此漏洞會影響檔案 /cgi-bin/cstecgi.cgi 中的 setWiFiBasicCfg 函數。此函數對參數 ssid 的操作會導致緩衝區溢位。攻擊者可以遠程發動攻擊。該漏洞利用程序已公開,並可能被利用。 | CVE-2026-1156
|
| Totolink | LR350 | 1 | Totolink LR350 9.3.5u.6369_B20220309 版本中發現了一個漏洞。此漏洞會影響檔案 /cgi-bin/cstecgi.cgi 中的 setWiFiEasyCfg 函數。對參數 ssid 的這種操作會導致緩衝區溢位。攻擊者可以遠程發動攻擊。該漏洞利用程序已公開,可能會被利用。 | CVE-2026-1157
|
| Totolink | LR350 | 1 | Totolink LR350 9.3.5u.6369_B20220309 版本中發現了一個安全漏洞。此漏洞會影響 POST 請求處理組件中 /cgi-bin/cstecgi.cgi 檔案的 setWizardCfg 函數。對參數 ssid 進行修改會導致緩衝區溢位。此漏洞可遠端發動攻擊。該漏洞利用程式已公開,並可能被用於攻擊。 | CVE-2026-1158
|
| Totolink | NR1800X | 1 | Totolink NR1800X 9.1.0u.6279_B20210910 版本中偵測到一個漏洞。受影響的是 POST 請求處理程序元件中 /cgi-bin/cstecgi.cgi 檔案的 setWizardCfg 函數。對參數 ssid 進行篡改會導致緩衝區溢位。該攻擊可遠端發動。漏洞利用程序現已公開,可供使用。 | CVE-2026-1328
|
| Zoom Communications Inc. | Zoom Node | 1 | Zoom Node 多媒體路由器 (MMR) 5.2.1716.0 版本之前的版本存在命令注入漏洞,會議參與者可能透過網路存取對 MMR 執行遠端程式碼。 | CVE-2026-22844
|
