Kong揭露其開源API用戶端工具Insomnia於11.0.2版本之前存在嚴重模板注入(Template Injection)漏洞。該漏洞編號CVE-2025-1087,主因是Insomnia在處理用戶輸入的模板字串時,未進行充分驗證,導致攻擊者可透過特製輸入執行任意JavaScript程式碼,增加應用程式受攻擊風險。Kong已針對11.0.2以上版本發布安全更新,建議所有用戶儘速升級至新版以確保安全。
Insomnia是一套廣泛應用於API設計、偵錯與測試的跨平臺開源工具,支援REST、GraphQL、WebSockets、gRPC等多種通訊協定,受不少開發者採用。用戶可透過直覺介面進行API除錯、管理設計規範、執行測試腳本,並支援多種協作模式及本地、雲端、Git等儲存方式,兼顧敏感資料的本地管理與團隊協作彈性。由於具高度擴充性,若缺乏嚴謹輸入驗證,易成為攻擊者利用漏洞的途徑。
根據Kong公告,該漏洞屬於高風險,CVSS 4.0評分達9.3,為嚴重等級。攻擊者如能誘導用戶互動並處理含惡意模板字串的資料,便能於應用程式端執行任意JavaScript程式碼,導致敏感資訊外洩、資料竄改或其他未經授權操作。
根據CVE記錄,此漏洞涉及輸入驗證不當(CWE-20)與程式碼生成控制不當(CWE-94)兩項常見弱點。Kong已發布修補建議,所有Insomnia用戶應盡快升級至11.0.2或更新版本,如需進一步技術細節與升級指引,可參閱官方GitHub專案頁面。
熱門新聞
2025-06-18
2025-06-18
2025-06-17
2025-06-18
2025-06-16
2025-06-16
Advertisement