提升資安防護
強化金融交易安全

一、漏洞說明[1] LiteLLM 係由 BerriAI 開發的 AI Gateway（LLM Proxy），其提供統一介面讓應用程式可以使用 OpenAI 標準格式呼叫各種大型語言模型（LLM），並負責請求的轉換、路由與治理，包括 API 管理與權限控制等。在受此漏洞（CVE-2026-42208）影響版本中，系統在驗證 API Key 的過程中會將使用者提供的 Authorization Header 值直接帶入 SQL 查詢語法中，而未使用參數化查詢（parameterized query）方式處理，導致未經身份驗證的攻擊者可透過 SQL Injection 注入惡意查詢語法，進而讀取或修改資料庫內容。 二、已揭露攻擊活動說明 CISA已納入漏洞利用清單。[2]

一、漏洞說明[1] Ivanti發布安全公告指出，其Endpoint Manager Mobile（EPMM）存在多項高風險漏洞，說明如下： 1. CVE-2026-5786：該漏洞源於系統未適當限制存取權限（CWE-284），使已通過身分驗證的遠端攻擊者可取得管理員存取權限。 2. CVE-2026-5787：該漏洞源於系統未適當驗證憑證（CWE-295），使未經身分驗證的遠端攻擊者可偽冒已註冊的Sentry主機，並取得由憑證授權中心（CA）簽署的用戶端憑證。 3. CVE-2026-5788：該漏洞源於系統未適當限制存取權限（CWE-284），使未經身分驗證的遠端攻擊者可呼叫任意方法（arbitrary methods）。 4. CVE-2026-6973：該漏洞源於系統未對輸入內容進行適當驗證（CWE-20），使具管理員權限的遠端攻擊者可達成遠端程式碼執行（RCE）。 5. CVE-2026-7821：該漏洞源於系統未適當驗證憑證（CWE-295、CWE-306），使未經身分驗證的遠端攻擊者可替特定未註冊裝置完成註冊程序，進而導致EPMM設備資訊洩露，並影響新註冊裝置身分識別的完整性。 二、已揭露攻擊活動說明 1. CISA已將CVE-2026-6973納入漏洞利用清單。[2] 2. Ivanti公告已觀察到少數用戶遭CVE-2026-6973利用。

一、漏洞說明[1] Palo Alto Networks PAN-OS軟體的User-ID 身分驗證入口網站 （Captive Portal），存在一項記憶體緩衝區溢位（Buffer Overflow）漏洞（CVE-2026-0300）。該漏洞允許未經驗證的攻擊者向 User-ID 驗證入口網站發送特製的惡意請求時在 PA 系列和 VM 系列防火牆上以 root 權限執行任意程式碼。 二、已揭露攻擊活動說明 CISA已納入漏洞利用清單。[2]

一、漏洞說明[1][2][3][4][5][6][7] Linux kernel於crypto子系統algif_aead模組中，存在本機權限提升漏洞（CVE-2026-31431），並命名為Copy Fail。該漏洞源於in-place資料處理機制設計不當，使目標檔案的分頁快取（page cache）被納入可寫入的記憶體區域，未具權限的本機使用者可藉此修改可讀取檔案（如具setuid權限位元的二進位執行檔），進而在Linux系統獲得root權限。 二、已揭露攻擊活動說明 1. CISA已納入漏洞利用清單。[8] 2. GitHub已有PoC程式碼。[9]

一、漏洞說明[1][2] 網站主機管理軟體cPanel與WHM（WebHost Manager）存在一項身分驗證繞過漏洞（CVE-2026-41940）。該漏洞源於系統於登入失敗時仍會建立暫時性會話（session），未經身分驗證的遠端攻擊者可透過操控該會話儲存機制，注入偽造的驗證狀態（如user=root、hasroot=1、tfa_verified=1），使系統於後續載入會話時誤判為已完成驗證，進而繞過正常登入流程取得未授權的管理員存取權限。 二、已揭露攻擊活動說明 1. CISA已納入漏洞利用清單。[3] 2. Ctrl-Alt-Intel已發布技術分析報告，並說明觀察到攻擊者利用此漏洞入侵菲律賓、寮國等多個東南亞地區政府及軍事單位。[4]

一、漏洞說明[1][2] D-Link DIR-823X系列路由器存在一項命令注入漏洞（CVE-2025-29635）。該漏洞允許攻擊者透過向 /goform/set_prohibiting 端點發送特製POST請求，進而於遠端裝置執行任意指令。該系列路由器已於2025年停產，且已有攻擊者利用此漏洞進行攻擊，並部署名為tuxnokill的Mirai殭屍網路變種。另觀察到相同攻擊手法亦用於攻擊CVE-2023-1389（TP-Link 路由器）及ZTE ZXV10 H108L路由器的遠端程式碼執行漏洞，並載入Mirai惡意內容。 二、已揭露攻擊活動說明 1. CISA已納入漏洞利用清單。[3] 2. Akamai已發布技術分析報告。[2] 三、F-ISAC彙整Akamai所提供入侵威脅指標如附檔。

一、漏洞說明[1][2] Python資料分析工具Marimo存在一項遠端程式碼執行漏洞（CVE-2026-39987）。該漏洞源於終端機（遠端命令操作介面）WebSocket端點 /terminal/ws 未進行身分驗證，與其他會呼叫 validate_auth() 進行驗證的端點（如 /ws）不同，該端點僅檢查執行模式及平台支援情形即接受連線。未經身分驗證的攻擊者可透過該端點取得完整 PTY（Pseudo-Terminal）Shell，並於系統上執行任意指令。 二、已揭露攻擊活動說明 1. CISA已納入漏洞利用清單。[3] 2. GitHub已有PoC程式碼。[1] 3. Sysdig已發布技術分析報告。[4] 三、F-ISAC彙整Sysdig所提供入侵威脅指標如附檔。

一、漏洞說明[1] Kentico Xperience存在一項遠端程式碼執行漏洞（CVE-2025-2749）。該漏洞允許具備Staging Sync Server存取權限的已驗證使用者，將任意資料上傳至相對路徑位置，進而導致路徑穿越（Path Traversal）及任意檔案上傳。攻擊者得以上傳於伺服器端執行之內容，進而造成遠端程式碼執行。 二、已揭露攻擊活動說明 1. CISA已納入漏洞利用清單。[2] 2. watchTowr已發布技術分析報告。[3]