Elastic | ElasticSearch | Kibana | CVE-2026-0532 | 安全更新

Elastic修補Elasticsearch、Kibana與Beats多項漏洞,最高可導致資訊外洩與SSRF

Elastic於1月發布安全更新,修補Kibana與Beats多項漏洞,風險涵蓋SSRF、任意檔案讀取與DoS,並修補影響Elasticsearch的資訊外洩漏洞,官方建議儘速升級

2026-01-15

Angular | XSS | CVE-2026-22610 | 前端 | svg

Web應用開發框架Angular存在XSS漏洞,攻擊者可在瀏覽器端執行惡意JavaScript

Angular範本編譯器處理SVG的script元素href與xlink:href時,可能誤判安全情境而繞過輸入消毒機制(Sanitization),攻擊者可注入惡意URI或導向外部腳本,讓瀏覽器執行任意JavaScript

2026-01-15

VoidLink | Linux | 惡意程式

專為雲端打造的Linux惡意程式VoidLink現身

Check Point Research揭露名為VoidLink的高階Linux惡意程式框架,專門針對現代雲端基礎設施所設計,具備高度模組化架構及隱蔽能力

2026-01-15

Apache Struts | CVE-2025-68493 | XML外部實體XXE | XWork | Struts 6.1.1

Java Web應用框架Apache Struts存在XXE漏洞,可致資料外洩、DoS或SSRF攻擊

Java Web應用框架Apache Struts存在CVE-2025-68493漏洞,XWork解析XML時可能遭XXE利用,最嚴重恐導致資料外洩、DoS或SSRF,影響Struts 6.0.0至6.1.0及已停止維護的2.x舊分支

2026-01-15

Moxa | OpenSSH | CVE-2023-38408

Moxa修補工業交換器的OpenSSH元件重大漏洞

四零四科技(Moxa)針對旗下工業交換器發布資安公告,修補OpenSSH重大漏洞CVE-2023-38408,並指出該弱點源自2016年一項漏洞修補不完整所留下的問題

2026-01-15

IoTSuite 3D Visualization | CVE-2025-52694

研華科技修補工業物聯網平臺與設備管理平臺10分重大漏洞

新加坡網路安全局(Cyber Security Agency of Singapore,CSA)近日針對研華科技(Advantech)用戶提出警告,該廠牌的工業物聯網系統IoTSuite 3D Visualization(SaaS Composer)存在重大層級漏洞CVE-2025-52694,呼籲用戶要儘速套用修補程式因應

2026-01-15

摩根大通 | JPMorgan Chase | IT供應商管理 | 供應鏈安全

摩根大通受合作的法務業者連累,外洩數百人資料

摩根大通(JPMorgan Chase)向美國政府通報,因合作的法律顧問公司發生資安事件,導致摩根大通的基金投資客戶及其配偶、代理人個資外洩,影響人數達659人

2026-01-15

Verizon | 服務異常 | 服務中斷

美國最大行動業者Verizon服務中斷數小時

Verizon發生大規模服務中斷,美國多地用戶無法使用行動通話、簡訊與行動數據,部分手機畫面顯示SOS或無訊號

2026-01-15

Fortinet | 安全更新 | 資安漏洞

Fortinet修補旗下FortiSIEM等產品2重大漏洞

Fortinet旗下安全資訊與事件管理平臺FortiSIEM存在重大風險漏洞,可讓未經驗證的攻擊者在受害裝置上執行非授權程式或指令

2026-01-15

資安日報

【資安日報】1月14日,微軟修補3個零時差漏洞,其中1個已出現攻擊行動

本週二有許多軟體業者發布1月份例行更新,其中最受到關注的部分,是微軟公布的資安漏洞,其中有桌面視窗管理員(Desktop Window Manager,DWM)漏洞CVE-2026-20805已遭到利用,成為各界的焦點

2026-01-14

衛福部 | 主權雲 | 在地化 | 醫療上雲 | AI | 加密 | 金鑰 | 授權 | 刪除

衛福部公布主權雲八大方針,醫療雲端採購新基準出爐

衛福部首度公布主權雲端八大指導方針,將資料加密、用途限制、維運人員主權和系統韌性等要求,納入衛福部雲端治理和採購基準。未來醫療與高敏感資料不再只是能不能上雲,而是必須先回答是否符合這八條底線。

2026-01-14

Python軟體基金會 | Anthropic | PyPI | 供應鏈攻擊 | 開源

Anthropic捐150萬美元挺Python基金會,強化PyPI供應鏈防護

Python軟體基金會與Anthropic展開兩年合作,獲150萬美元資助,將用於強化CPython與PyPI安全,開發套件主動審查工具與惡意軟體資料集,以降低供應鏈攻擊風險並支援基金會營運

2026-01-14

node.js | async_hooks | AsyncLocalStorage | CVE-2025-59466 | DOS

Node.js修補堆疊耗盡DoS風險,React、Next.js與應用效能監控工具受波及

Node.js釋出安全更新,官方警告在啟用async_hooks的情況下,堆疊耗盡可能繞過既有例外處理而使程序直接退出,影響涵蓋React、Next.js與導入APM的常見部署情境

2026-01-14

adobe | ColdFusion | Apache Tika | CVE-2025-66516

Adobe為ColdFusion修補Apache Tika滿分漏洞,呼籲用戶優先處理

Adobe發布一月份例行更新,其中最受到矚目的部分,是存在於在網頁應用程式開發平臺ColdFusion的滿分漏洞,此漏洞出現在第三方元件Apache Tika,CVSS評分達到10分

2026-01-14

SAP | Security Patch Day | CVE-2026-0501 | CVE-2026-0500 | CVE-2026-0498 | CVE-2026-0491 | S/4HANA | Wily Introscope Enterprise Manager | Landscape Transformation

SAP發布1月例行更新,修補SQL注入、程式碼注入,以及遠端程式碼執行的重大漏洞

本週SAP發布1月例行更新,其中為S/4HANA、Wily Introscope Enterprise Manager,以及Landscape Transformation修補重大層級漏洞,而受到關注

2026-01-14