資安通告:07/06~07/12 資安弱點威脅彙整週報
2026-07-17
風險等級: 高度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
AdobeColdFusion1Adobe ColdFusion 2025 Update 9、2023 Update 20 及更早版本存在**輸入驗證不當(Improper Input Validation)**漏洞。攻擊者可利用此漏洞,在目前使用者權限下執行任意程式碼。利用此漏洞不需使用者互動即可成功攻擊。本次公告已更新漏洞影響範圍(Scope Changed)。CVE-2026-48316

AWSMCP Gateway & Registry1Amazon MCP Gateway & Registry 1.0.13 之前版本的 metrics-service 保留原則管理元件,因 SQL 特殊字元處理不當(SQL Injection),已驗證身分的遠端使用者可藉由精心構造的 table_name 值,在 SQL 識別字位置插入惡意內容,執行任意 SQL 查詢。建議升級至 1.0.13 或更新版本。CVE-2026-14471

D-linkDIR-823G1D-Link DIR-823G 1.0.2B05_20181207 的 Web 管理介面 (/etc/boa/boa.conf) 存在未知弱點,可遭遠端攻擊者利用,造成最低權限原則遭破壞。此攻擊複雜度高,利用難度較高,但已有公開攻擊程式可供利用。CVE-2026-15270

DellPowerFlex Manager1Dell PowerFlex Manager 5.1.0.1 之前版本存在 作業系統命令注入(OS Command Injection) 漏洞。具高權限的遠端攻擊者可於 OS Repository 處理過程中利用此漏洞,以 root 權限執行任意命令,可能導致設備完全遭入侵,並橫向擴散至受管理基礎架構。CVE-2026-56688

DellPowerFlex Manager1Dell PowerFlex Manager 5.1.0.1 之前版本存在 SQL Injection 漏洞。低權限遠端攻擊者可利用此漏洞造成資訊洩漏、資訊曝光及未經授權存取。CVE-2026-56690

DellPowerFlex Manager1Dell PowerFlex Manager 5.1.0.1 之前版本存在 SQL Injection 漏洞。低權限遠端攻擊者可利用此漏洞造成資訊曝光。CVE-2026-56689

DellPowerProtect Data Domain1Dell PowerProtect Data Domain(受影響版本)存在路徑遍歷(Path Traversal)漏洞。未經驗證的遠端攻擊者可利用此漏洞取得未經授權的系統存取權限。由於可能導致系統遭完全控制,Dell 建議儘速升級。CVE-2026-53481

DellPowerProtect Data Domain1Dell PowerProtect Data Domain(受影響版本)存在驗證機制不當漏洞。未經驗證的遠端攻擊者可利用此漏洞取得未經授權的存取權限,甚至完全控制系統。Dell 建議儘速升級。CVE-2026-53483

DellPowerProtect Data Domain1Dell PowerProtect Data Domain(受影響版本)存在授權控制不正確漏洞。低權限遠端攻擊者可利用此漏洞取得未經授權的存取權限。CVE-2026-56086

DellPowerProtect Data Domain1Dell PowerProtect Data Domain(受影響版本)存在儲存型跨網站指令碼(Stored Cross-Site Scripting, Stored XSS)漏洞。未經驗證的遠端攻擊者可利用此漏洞,造成資訊洩漏、工作階段遭竊取或用戶端偽造請求。CVE-2026-41122

DellPowerProtect Data Domain1Dell PowerProtect Data Domain(受影響版本)存在作業系統命令注入漏洞。具高權限的遠端攻擊者可利用此漏洞繞過保護機制,以 root 權限執行任意命令。此為重大(Critical)漏洞,Dell 建議儘速升級。CVE-2026-53479

DellPowerProtect Data Domain1Dell PowerProtect Data Domain(受影響版本)存在整數溢位/環繞(Integer Overflow / Wraparound)漏洞。未經驗證的遠端攻擊者可利用此漏洞造成阻斷服務(DoS)。CVE-2026-53482

DellUnisphere for PowerMax1Dell Unisphere for PowerMax 10.3.0.5 以前版本存在不可信任資料反序列化(Deserialization of Untrusted Data)漏洞。低權限遠端攻擊者可利用此漏洞,以 root 權限執行任意命令。CVE-2026-54469

FreeRDPFreeRDP1FreeRDP 3.27.1 之前版本中,使用 /cache:codec:rfx 選項時,RemoteFX 解碼程序因配置位圖記憶體大小不足,可能遭惡意 RDP 伺服器觸發堆積緩衝區越界寫入,造成任意記憶體覆寫。此問題已於 3.27.1 修正。CVE-2026-55827

FreeRDPFreeRDP1FreeRDP 3.22.0 之前版本因 dvcman_channel_close 與 dvcman_call_on_receive 對 channel_callback 同步處理不當,存在釋放後使用(Use-After-Free)漏洞。惡意 RDP 伺服器可透過競態條件導致遠端程式碼執行或阻斷服務。CVE-2026-56297

IBMAPI Connect1IBM API Connect 10.0.8.0–10.0.8.9 與 12.1.0.0–12.1.0.3 的密碼重設功能存在未經驗證 SQL Injection漏洞。CVE-2026-9074

IBMAPI Connect1IBM API Connect 12.1.0.0–12.1.0.3 使用預設帳號密碼,可能讓攻擊者於系統要求變更密碼前取得未經授權的存取權限。CVE-2026-3144

Juniper NetworksJunos OS1Junos OS TCP Proxy 外掛存在輸入數量驗證不當漏洞。未經驗證的網路攻擊者可利用特製 TCP 封包使 flowd 當機並重新啟動,造成完整阻斷服務(DoS)。CVE-2026-57023

Juniper NetworksJunos OS1Junos OS SIP 外掛存在輸入語法驗證不當漏洞。啟用 SIP ALG 時,惡意 SIP INVITE 封包可導致 flowd 當機並重新啟動,造成完整阻斷服務(DoS)。CVE-2026-57026

Juniper NetworksJunos OS Evolved1Junos OS Evolved 存在通訊端點限制不當漏洞。未經驗證的網路攻擊者可透過對外開放的連接埠存取授權管理功能,導致授權(License)資源耗盡。CVE-2026-57028

MicrosoftDynamics 365 Customer Voice1Dynamics 365 Customer Voice 存在跨網站指令碼(XSS)漏洞。未經驗證的遠端攻擊者可透過網路進行身分偽冒(Spoofing)。CVE-2026-47646

MicrosoftMicrosoft Edge (Chromium-based)1Microsoft Edge(Chromium 版)存在不可信任資料反序列化漏洞,未經驗證的遠端攻擊者可透過網路執行任意程式碼。CVE-2026-58281

MicrosoftMicrosoft Edge (Chromium-based)1Microsoft Edge(Chromium 版)存在存取控制不當漏洞,未經驗證的遠端攻擊者可繞過安全性防護機制。CVE-2026-58525

MicrosoftMicrosoft Edge (Chromium-based)1Microsoft Edge(Chromium 版)存在不可信任指標解參考(Untrusted Pointer Dereference)漏洞,未經驗證的遠端攻擊者可透過網路提升權限。CVE-2026-58596

TOTOLINKA3000RU1TOTOLINK A3000RU、A3100R、A950RG、AC1200T10、CP450、CS185R_T10 與 EX200(至 2026-09-06 版本)Web 管理介面的 /etc/boa/boa.conf 存在未知弱點,可遭遠端攻擊者利用,導致最低權限原則遭破壞。攻擊複雜度高且利用難度較高。CVE-2026-15271

影響系統:
    受影響廠牌如下:
  • Adobe
  • AWS
  • D-link
  • Dell
  • FreeRDP
  • IBM
  • Juniper Networks
  • Microsoft
  • TOTOLINK
解決辦法: 詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/news-events/bulletins/sb26-194 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/news-events/bulletins/sb26-194 )
參考資訊: US-CERT