【資安日報】1月15日,Node.js存在資安漏洞,恐波及React、Next.js、應用程式效能監控工具
在本週二有許多廠商發布1月例行更新之外,也有許多資安公告相當值得留意,其中一個是Node.js近期發布的更新,若不處理,相關漏洞有可能波及React或Next.js應用程式伺服器,以及應用程式效能監控工具(APM)
2026-01-15
| Elastic | ElasticSearch | Kibana | CVE-2026-0532 | 安全更新
Elastic修補Elasticsearch、Kibana與Beats多項漏洞,最高可導致資訊外洩與SSRF
Elastic於1月發布安全更新,修補Kibana與Beats多項漏洞,風險涵蓋SSRF、任意檔案讀取與DoS,並修補影響Elasticsearch的資訊外洩漏洞,官方建議儘速升級
2026-01-15
| Angular | XSS | CVE-2026-22610 | 前端 | svg
Web應用開發框架Angular存在XSS漏洞,攻擊者可在瀏覽器端執行惡意JavaScript
Angular範本編譯器處理SVG的script元素href與xlink:href時,可能誤判安全情境而繞過輸入消毒機制(Sanitization),攻擊者可注入惡意URI或導向外部腳本,讓瀏覽器執行任意JavaScript
2026-01-15
Check Point Research揭露名為VoidLink的高階Linux惡意程式框架,專門針對現代雲端基礎設施所設計,具備高度模組化架構及隱蔽能力
2026-01-15
| Apache Struts | CVE-2025-68493 | XML外部實體XXE | XWork | Struts 6.1.1
Java Web應用框架Apache Struts存在XXE漏洞,可致資料外洩、DoS或SSRF攻擊
Java Web應用框架Apache Struts存在CVE-2025-68493漏洞,XWork解析XML時可能遭XXE利用,最嚴重恐導致資料外洩、DoS或SSRF,影響Struts 6.0.0至6.1.0及已停止維護的2.x舊分支
2026-01-15
| Moxa | OpenSSH | CVE-2023-38408
四零四科技(Moxa)針對旗下工業交換器發布資安公告,修補OpenSSH重大漏洞CVE-2023-38408,並指出該弱點源自2016年一項漏洞修補不完整所留下的問題
2026-01-15
外界認為與半導體新創Cerebras合作,讓OpenAI得以緩解AI算力瓶頸,降低對Nvidia的依賴
2026-01-15
| IoTSuite 3D Visualization | CVE-2025-52694
新加坡網路安全局(Cyber Security Agency of Singapore,CSA)近日針對研華科技(Advantech)用戶提出警告,該廠牌的工業物聯網系統IoTSuite 3D Visualization(SaaS Composer)存在重大層級漏洞CVE-2025-52694,呼籲用戶要儘速套用修補程式因應
2026-01-15
| 摩根大通 | JPMorgan Chase | IT供應商管理 | 供應鏈安全
摩根大通(JPMorgan Chase)向美國政府通報,因合作的法律顧問公司發生資安事件,導致摩根大通的基金投資客戶及其配偶、代理人個資外洩,影響人數達659人
2026-01-15
| Gemini | Personal Intelligence
Google推出個人化Gemini功能 可從Gmail、搜尋、相簿擷取資訊
Personal Intelligence(個人化協助)功能讓Gemini可從用戶的Gmail、Google Photos或YouTube等服務擷取資訊,提供更個人化的內容建議
2026-01-15
Verizon發生大規模服務中斷,美國多地用戶無法使用行動通話、簡訊與行動數據,部分手機畫面顯示SOS或無訊號
2026-01-15