| iThome

【資安日報】1月15日，Node.js存在資安漏洞，恐波及React、Next.js、應用程式效能監控工具

在本週二有許多廠商發布1月例行更新之外，也有許多資安公告相當值得留意，其中一個是Node.js近期發布的更新，若不處理，相關漏洞有可能波及React或Next.js應用程式伺服器，以及應用效能監控工具（APM）

Elastic修補Elasticsearch、Kibana與Beats多項漏洞，最高可導致資訊外洩與SSRF

Elastic於1月發布安全更新，修補Kibana與Beats多項漏洞，風險涵蓋SSRF、任意檔案讀取與DoS，並修補影響Elasticsearch的資訊外洩漏洞，官方建議儘速升級

2026-01-15

新聞 | Angular | XSS | CVE-2026-22610 | 前端 | svg

Web應用開發框架Angular存在XSS漏洞，攻擊者可在瀏覽器端執行惡意JavaScript

Angular範本編譯器處理SVG的script元素href與xlink:href時，可能誤判安全情境而繞過輸入消毒機制（Sanitization），攻擊者可注入惡意URI或導向外部腳本，讓瀏覽器執行任意JavaScript

2026-01-15

新聞 | VoidLink | Linux | 惡意程式

專為雲端打造的Linux惡意程式VoidLink現身

Check Point Research揭露名為VoidLink的高階Linux惡意程式框架，專門針對現代雲端基礎設施所設計，具備高度模組化架構及隱蔽能力

2026-01-15

Java Web應用框架Apache Struts存在XXE漏洞，可致資料外洩、DoS或SSRF攻擊

Java Web應用框架Apache Struts存在CVE-2025-68493漏洞，XWork解析XML時可能遭XXE利用，最嚴重恐導致資料外洩、DoS或SSRF，影響Struts 6.0.0至6.1.0及已停止維護的2.x舊分支

2026-01-15

新聞 | Moxa | OpenSSH | CVE-2023-38408

Moxa修補工業交換器的OpenSSH元件重大漏洞

四零四科技（Moxa）針對旗下工業交換器發布資安公告，修補OpenSSH重大漏洞CVE-2023-38408，並指出該弱點源自2016年一項漏洞修補不完整所留下的問題

2026-01-15

新聞 | OpenAI | 半導體 | Cerebras

OpenAI宣布與半導體新創Cerebras合作

外界認為與半導體新創Cerebras合作，讓OpenAI得以緩解AI算力瓶頸，降低對Nvidia的依賴

2026-01-15

新聞 | IoTSuite 3D Visualization | CVE-2025-52694

研華科技修補工業物聯網平臺與設備管理平臺10分重大漏洞

新加坡網路安全局（Cyber Security Agency of Singapore，CSA）近日針對研華科技（Advantech）用戶提出警告，該廠牌的工業物聯網系統IoTSuite 3D Visualization（SaaS Composer）存在重大層級漏洞CVE-2025-52694，呼籲用戶要儘速套用修補程式因應

2026-01-15