微軟發布4月例行更新,修補SharePoint、Defender零時差漏洞
一週前Anthropic發布通用語言模型Claude Mythos預覽版本,聲稱該模型已在常見的作業系統、瀏覽器、開源軟體找出數千個零時差漏洞,並設立Project Glasswing專案號召科技、金融公司、關鍵基礎設施加入,使得4月份的各大IT廠商的安全性例行更新格外受到關注,因為外界預期各廠商將會公布大量的資安漏洞,果不其然,單就今天微軟發布的公告而言,就涵蓋超過200個漏洞。
首先,4月微軟例行更新(Patch Tuesday)總共公開165個由微軟登記CVE編號的漏洞,數量較上個月多出一倍,再加上他們修補的第三方元件漏洞,總數將達到247個。
SAP修補商業規畫與合併財務報表系統、企業資料倉儲系統重大漏洞
4月14日SAP發布本月例行更新(Security Patch Day),總共揭露19個資安漏洞,其中有1個重大等級、1個高風險等級,其餘為中低風險等級。
根據CVSS風險評分,最危險的是SQL注入漏洞CVE-2026-27681,影響商業規畫與合併財務報表系統SAP Business Planning and Consolidation(SAP BPC),以及企業資料倉儲系統SAP Business Warehouse(SAP BW),CVSS風險評為9.9分(滿分10分),屬重大等級。此漏洞形成原因在於上述系統的授權檢查不夠充分,通過身分驗證的攻擊者能執行指定的SQL描述指令(SQL Statement),從而讀取、竄改、刪除資料庫內容。
Adobe修補55個漏洞,ColdFusion列為最高優先更新
Adobe於4月14日發布的周二例行性更新中,修補旗下11款產品一共55個漏洞,其中的應用程式伺服器軟體ColdFusion,被列為用戶需要立即更新的等級1(Priority 1),建議用戶在72小時內更新。細部而言,ColdFusion修補7個漏洞,包括CVSS嚴重性評分達9.3分的輸入驗證漏洞CVE-2026-27304,另外還有可能導致路徑遍歷、資源消耗失控等問題的漏洞。
列為等級2(Priority 2)的產品則有Acrobat Reader,修補2個原型汙染(Prototype Pollution)問題,建議用戶在30天內儘速修補。在這波更新之前,Adobe也剛於4月11日發布Acrobat Reader的另一個安全更新,修補已遭到攻擊者利用的重大零時差漏洞CVE-2026-34621。
4月8日,開發Python互動式運算環境Marimo的團隊揭露重大漏洞CVE-2026-39987,有資安公司發現,公布後不到半天,已出現攻擊行動。
資安公司Sysdig指出,在Marimo發布公告約10小時後,他們看到漏洞利用嘗試的跡象,而且駭客在3分鐘之內成功竊得憑證。值得留意的是,當時該漏洞尚無登記CVE編號,也沒有公開的概念驗證程式碼(PoC),攻擊者只有根據資安公告的有限資訊,就成功利用漏洞,並在未經身分驗證的情況下存取終端機端點,然後手動偵察受害環境。
出版商McGraw-Hill傳出Salesforce系統被入侵,駭客聲稱竊得4500萬筆資料
根據資安媒體Bleeping Computer報導,駭客組織ShinyHunters近日聲稱,他們從知名教育出版商麥格羅希爾(McGraw-Hill)的Salesforce平臺竊得一批資料,其中包含超過4,500萬筆可識別身分資訊(PII)記錄。駭客要求該出版商在週二之前聯繫,否則將公開這批資訊連同其網路環境漏洞。
對此,麥格羅希爾證實有未經授權人士從Salesforce代管的網頁存取部分資料,並研判這事件可能是Salesforce系統配置錯誤所造成,受影響並非只有麥格羅希爾,有多家企業組織遭到攻擊。
OpenAI公布GPT 5.4-Cyber,開放更多資安人員使用
OpenAI今年2月公布資安人員合作方案Trusted Access for Cyber(TAC),允許資安廠商及組織使用該公司專為網路安全強化的AI模型。為了不讓Anthropic近期推出的Claude Mythos專美於前,4月14日OpenAI公布專為網路安全分析的模型GPT-5.4-Cyber,此為基於GPT 5.4而成的變形版本,和標準版本相較,GPT-5.4-Cyber降低AI模型的拒絕邊界(refusal boundary)而可用於合法的網路安全任務,並加入進階防護工作的新功能,包括二進位檔逆向工程,這功能允許資安專家分析惡意軟體能力,或是在不需存取原始碼情況下了解系統軟體漏洞及安全性。
OpenAI也提供了加入TAC方案的方法。個人用戶可以透過ChatGPT網站,企業用戶可以向OpenAI業務人員申請。審核通過的用戶就可以使用限制更少的模型,讓他們得以執行安全教育、防禦性程式開發和負責任的漏洞研究。
CISA警告Fortinet FortiClient EMS重大漏洞已被用於攻擊,要求儘速修補
美國網路安全與基礎設施安全局(CISA)近日警告,2月初揭露的重大漏洞CVE-2026-21643已被實際利用,未修補此弱點的端點管理平臺FortiClient EMS風險大增,CISA將其納入已知遭利用漏洞清單(KEV),要求各機構儘速修補。
CVE-2026-21643屬於SQL注入型弱點(SQL Injection),CVSS嚴重性評分達9.1分,問題出在SQL指令使用的特殊元件,未妥善過濾輸入(improper neutralization),使得未經身分驗證的攻擊者能藉由特製的HTTP請求,執行未授權的程式碼或指令,會影響7.4.4版FortiClient EMS,解決辦法是升級到7.4.5以後版本。
NPM套件Axios修補滿分重大漏洞,未更新可能導致遠端執行任意程式碼攻擊
使用廣泛的HTTP用戶端NPM套件Axios,繼日前傳出的供應鏈攻擊事件後,該套件專案的維護者近日又發布安全公告,修補可能導致遠端執行任意程式碼的重大漏洞, 建議用戶儘速更新版本。
Axios這次修補的漏洞編號為CVE-2026-40175,CVSS嚴重性等級達到滿分10.0分,問題源自Axios的HTTP標頭處理缺陷,若結合原型污染(Prototype Pollution)問題,將形成可被利用的攻擊鏈。攻擊者可藉由應用程式其他相依套件污染JavaScript的Object.prototype,Axios會在合併設定時自動載入被汙染的惡意屬性,進而觸發HTTP請求挾帶(HTTP Request Smuggling)或伺服器端請求偽造(SSRF)等問題,可能進一步導致遠端執行任意程式碼。利用這個漏洞還可能讓攻擊鏈延伸到AWS雲端服務,導致攻擊者繞過AWS IMDSv2連線權杖保護機制,進而入侵雲端環境。
開源監控平臺Grafana修補AI助理功能漏洞,防範提示注入攻擊導致資料外洩
資安公司Noma研究人員指出,開源監控與資料視覺化平臺Grafana的AI助理功能存在GrafanaGhost漏洞,可透過間接提示注入(Indirect Prompt Injection)手法,誘使AI助理將企業敏感資料外洩至外部伺服器。
Grafana平臺內含的AI助理功能,可協助使用者以自然語言查詢與分析系統監控資料。研究人員指出,攻擊者可在Grafana平臺讀取的外部網址嵌入惡意指令,當AI助理功能解析這些資料時,可能被誘導繞過安全防護機制,進而執行對外傳輸請求,將用戶資料附帶於URL參數中,傳送至攻擊者控制的伺服器,由於整個過程不會出現任何錯誤訊息,用戶難以察覺異常。
DNS伺服器軟體BIND 9修補多個漏洞,未修補可能導致服務中斷等問題
網際網路系統協會(Internet Systems Consortium,ISC)近日發布安全公告,修補由其開發與維護的BIND 9 DNS伺服器軟體多個漏洞,這些漏洞可能導致服務中斷、記憶體資訊洩漏等問題,使用者須盡速修補。
BIND 9是廣獲使用的開源伺服器軟體,這次修補的漏洞一共有4個,其中最嚴重的是CVE-2026-1519,為CVSS嚴重性評分7.5的高風險漏洞,攻擊者可透過特製DNS驗證資料導致系統資源耗盡,進而形成阻斷服務(DoS)攻擊。另一值得注意的漏洞是CVE-2026-3104,CVSS嚴重性評分同為7.5,攻擊者可透過特製的網域名稱,觸發BIND 9 DNS解析器(resolver)記憶體資訊洩漏。
PTC揭露旗下產品生命週期管理系統滿分重大漏洞,目前尚無修補程式,用戶須立即採取緩解措施
工業應用軟體廠商PTC近日發布安全公告,揭露旗下產品生命週期管理系統Windchill與FlexPLM存在重大漏洞,可能導致攻擊者藉此發動遠端執行任意程式碼攻擊,由於目前尚無修補程式,建議用戶立即採取緩解措施。
PTC揭露的這個漏洞編號是CVE-2026-4681,CVSS 3.1嚴重性等級為滿分10分,屬於CWE-94程式碼注入(Code Injection)弱點,攻擊者可透過不受信任資料反序列化(deserialization of untrusted data),從遠端執行程式碼。
其他資安威脅
◆惡意程式Mirax綁架安卓設備,將受害裝置變成SOCKS5固定型代理伺服器
◆ShinyHunters聲稱從遊戲公司Rockstar Games竊得8.1 GB內部資料
◆伊朗駭客Handala聲稱對阿拉伯聯合大公國3個重要組織發動網路攻擊
◆Python後門程式ViperTunnel鎖定美英企業,被用於勒索軟體DragonForce活動
近期資安日報
