CoreDNS 一批高危漏洞:TSIG 身份驗證繞過、DoH GET 放大與 DoQ 無界 Backlog
GitHub Security Advisories · 2026-04-28
2026-04-28 GitHub Advisory Database 發布了針對 CoreDNS 的五個高嚴重性安全通報,涵蓋 TSIG 身份驗證繞過、子區域 ACL 繞過與拒絕服務攻擊向量。
TSIG 身份驗證繞過
GHSA-vp29-5652-4fw9(High):gRPC 和 QUIC 傳輸上的 TSIG 身份驗證可被繞過。GHSA-qhmp-q7xh-99rh(High):DoT(DNS over TLS)、DoH(DNS over HTTPS)、DoH3 以及 DoQ(DNS over QUIC)的 TSIG 身份驗證同樣可被繞過。TSIG(Transaction Signature)是 DNS 的傳輸層請求簽署機制,通常用於保護區域傳輸(AXFR/IXFR)與動態更新(Dynamic Update),繞過此機制允許未授權操作。
ACL 繞過
GHSA-h8mm-c463-wjq3(High):CoreDNS 的 transfer 指令在比較 ACL 條目時使用字典排序(lexicographic compare),而非語意正確的網路前綴包含關係比較。當子區域條目在 ACL 列表中出現特定順序時,ACL 判斷邏輯可被繞過,允許未授權主機發起區域傳輸。
拒絕服務
GHSA-63cw-r7xf-jmwr(High):DoH GET 請求允許在 URL 查詢參數中傳入任意大小的 DNS 訊息,CoreDNS 未限制參數大小,可被用於放大記憶體消耗。GHSA-2wpx-qpw2-g5h5(High):DoQ 工作池對串流 backlog 未設上限,大量並發 QUIC 串流可導致資源耗盡。
影響範圍
CoreDNS 廣泛部署於 Kubernetes 叢集作為 kube-dns 的預設實作,上述漏洞對依賴 CoreDNS 提供 DNS 服務的叢集構成潛在威脅,建議儘速升級至已修復版本。
原始來源:GHSA-vp29-5652-4fw9、GHSA-qhmp-q7xh-99rh、GHSA-h8mm-c463-wjq3、GHSA-63cw-r7xf-jmwr、GHSA-2wpx-qpw2-g5h5
CVE-2026-3854:GitHub 後端 RCE——X-Stat 標頭注入繞過 pre-receive hook 沙箱
Wiz Security · 2026-04-28(公開揭露)
CVE-2026-3854 是 GitHub 內部 git 基礎設施中的遠端程式碼執行漏洞,CVSS 評分 8.7,影響 GitHub.com 與 GitHub Enterprise Server(GHES)。
漏洞機制
GitHub 的多服務 git 管線中,babeld(git 代理與 SSH 入口點)將 git push option 的值直接複製到 X-Stat 標頭,未移除分號(分號是欄位分隔符)。攻擊者可在 push option 中嵌入分號注入額外欄位:
git push -o '<注入的欄位>' origin master由於標頭解析採用「後寫入勝」(last-write-wins)語意,注入的欄位可覆蓋合法的安全設定。
三步驟 RCE 攻擊鏈
- 注入非生產環境的
rails_env值,繞過沙箱 - 注入
custom_hooks_dir,重定向 hook 目錄查找路徑 - 注入
repo_pre_receive_hooks並搭配路徑遍歷,執行任意二進位檔
結果是透過單一 git push 命令在 GitHub 後端伺服器上執行任意命令。
影響
在 GitHub.com,攻擊者可在共享儲存節點上執行程式碼,觸及數百萬個儲存庫;在 GHES,可完全控制伺服器並存取所有儲存庫與 secret。研究人員驗證了跨租戶存取其他使用者儲存庫的可能性(透過共享的 git 使用者權限)。
時間線與修補版本
2026-03-04 發現並回報,GitHub.com 於 6 小時內完成緩解。CVE 於 2026-03-10 分配,GHES 修補版本同時釋出:3.14.24、3.15.19、3.16.15、3.17.12、3.18.6、3.19.3(受影響:≤ 3.19.1)。公開揭露日期:2026-04-28。揭露時 Wiz 表示仍有 88% 的 GHES 實例未修補。
原始來源:Wiz Security Blog
AISLE 在 OpenEMR 中發現 38 個 CVE:CVSS 10.0 的 SQL 注入可 RCE
AISLE Security · 2026-04-28
安全研究公司 AISLE 在 Q1 2026 對 OpenEMR 進行靜態分析,發現 38 個 CVE,佔同期 GitHub 上 OpenEMR 安全通報的一半以上。OpenEMR 是全球超過 10 萬個醫療機構使用的電子病歷(EMR)軟體。
漏洞分佈
- 授權/存取控制問題(24 個 CVE):不安全直接物件參照(IDOR)、缺失或不正確的授權檢查、ACL 繞過
- 跨站腳本(XSS)(10 個 CVE):儲存型、DOM 型、反射型
- SQL 注入與路徑遍歷(5 個 CVE):REST API 與搜尋端點、路徑遍歷、Session 過期繞過
關鍵高危漏洞
CVE-2026-24908(CVSS 10.0):SQL 注入,可導致資料庫完全洩露與遠端程式碼執行。CVE-2026-23627(CVSS 10.0):SQL 注入搭配檔案權限提升。CVE-2026-24898(Critical):未認證病患身份揭露。受影響組件涵蓋 Patient REST API、免疫接種模組、FHIR CareTeam 端點、Portal 付款系統、病患筆記、DICOM 檢視器及傳真/SMS 端點。
揭露時間線
2025-12 中旬分析開始,2026-01 中旬初始回報,2026-02-11 OpenEMR 8.0.0 釋出(含大部分修補),2026-03 剩餘問題透過三個修補版本解決。
原始來源:AISLE Security
GHSA-pxf8-6wqm-r6hh:Note Mark OIDC 以 null 密碼完成身份驗證——Critical 級別繞過
GitHub Security Advisories · 2026-04-25
Note Mark 是一款支援 OIDC(OpenID Connect)的自託管筆記應用。GHSA-pxf8-6wqm-r6hh 揭露了一個 Critical 等級的身份驗證繞過漏洞:透過 OIDC 方式認證的使用者帳號,可以使用字串 "null"(或空值)作為密碼完成本地密碼驗證。
漏洞根因
OIDC 使用者在 Note Mark 的本地資料庫中不設定明確密碼,密碼欄位以 null 值儲存。身份驗證邏輯在進行密碼雜湊比對時,未正確處理 null 密碼的邊界情況,導致將 null 視為有效的密碼值進行匹配,允許以 null 字串完成驗證。
影響
攻擊者若知道 OIDC 使用者的帳號(通常為電子郵件或用戶名),可在不知道其 OIDC 憑證的情況下,繞過身份驗證以 null 密碼直接登入,完整存取該帳號的所有筆記與資料。
PhpSpreadsheet XSS 漏洞群
同日(2026-04-28)發布的 GHSA-hrmw-qprp-wgmc 與 GHSA-6wpp-88cp-7q68(均為 Moderate)揭露了 PhpSpreadsheet 的兩個 XSS 注入路徑:分別透過數字格式代碼(number format code)與 @ 文字替換(Text Substitution)注入惡意 HTML。PhpSpreadsheet 廣泛用於 PHP 應用的 Excel 檔案生成,受影響的 XSS 向量可在渲染電子試算表時執行任意 JavaScript。
原始來源:GHSA-pxf8-6wqm-r6hh、GHSA-hrmw-qprp-wgmc、GHSA-6wpp-88cp-7q68
GHSA-35hp-hqmv-8qg8:Fiber 快取中介軟體的預設金鑰生成器被查詢字串繞過
GitHub Security Advisories · 2026-04-28
Go 語言 HTTP 框架 Fiber 的快取中介軟體(fiber/middleware/cache)存在一個 Moderate 嚴重性的安全問題(GHSA-35hp-hqmv-8qg8):預設的快取金鑰生成器僅使用請求路徑,忽略查詢字串(query string)。
影響
以 GET /resource?param=a 與 GET /resource?param=b 發送的兩個請求,預設情況下會命中同一個快取條目。在需要依參數值回傳不同內容的場景(如依使用者角色過濾的 API 回應),攻擊者可能藉由查詢字串差異存取其他參數對應的快取資料,繞過存取控制或取得其他使用者的回應。修補方式是在快取金鑰中包含完整的請求 URI(路徑 + 查詢字串),或提供自訂金鑰生成函數。
原始來源:GHSA-35hp-hqmv-8qg8