資安雷達 2026 年 5 月 14 日

2026-05-14 — Fragnesia Linux LPE、NIST NVD 縮減、Strapi CVE-2026-22599

primary=https://lwn.net/Articles/1072647/ primary=https://www.docker.com/blog/nist-narrows-the-nvd-what-container-security-programs-should-reassess/ primary=https://github.com/advisories/GHSA-3xcq-8mjw-h6mx

Charlie · github.com/charlie0227 · 1 min read

Fragnesia:Linux XFRM ESP-in-TCP 邏輯漏洞導致任意核心頁快取寫入,PoC 公開

LWN.net · 2026-05-13

研究人員揭露名為 Fragnesia 的 Linux 本地提權漏洞(LPE),利用 XFRM ESP-in-TCP 子系統的邏輯錯誤,在不需競態條件的情況下,對唯讀核心頁快取(kernel page cache)進行任意位元組寫入,進而達到核心級程式碼執行。PoC exploit 已公開於 GitHub,補丁存在但尚未合入 Linus Torvalds 的主線樹或任何穩定分支。

漏洞機制

XFRM 是 Linux 核心的 IPSec/加密轉換框架;ESP-in-TCP 是 IKEv2 封裝的一種模式,讓 IPSec 封包透過 TCP 傳輸以穿越 NAT。Fragnesia 利用 ESP-in-TCP 路徑中的邏輯缺陷,搭配 splice() 系統呼叫——splice() 設計上允許在核心緩衝區之間移動資料而不經使用者空間複製,當漏洞使 XFRM 指向錯誤的 page cache 頁面時,splice() 的零拷貝路徑便成為寫入唯讀檔案的通道。此攻擊模式與稍早的 Dirty Frag 系列漏洞同源,但屬於獨立邏輯缺陷。

影響範圍

漏洞允許本地低權限用戶寫入任意唯讀 page cache 頁,實際攻擊場景包括修改已載入的 kernel module、覆寫以 mmap 映射的可執行二進位,以及提升至 root。Fedora 的更新在公開時正在測試中;其他發行版的補丁狀態依核心版本而異。CVE 編號在原始揭露時尚未指定。系統管理員如無法立即套用補丁,可考慮停用 XFRM ESP-in-TCP 模式(需 CONFIG_XFRM 相關配置)作為緩解措施。

NIST 縮減 NVD 富化範圍:大多數 CVE 不再有 CVSS 分數,容器掃描器面臨系統性盲點

Docker Blog · 2026-05-13

NIST 於 2026-04-15 正式採行 優先富化模型(Prioritized Enrichment):只有進入 CISA 已知利用漏洞(KEV)目錄、聯邦政府軟體,或 EO 14028「關鍵軟體」的 CVE 才能獲得完整 CVSS 分數、CPE 映射與 CWE 分類;其餘進入「Not Scheduled」狀態,不承諾任何富化時程。此政策的回溯截止日為 2026-03-01,在此之前未完成富化的舊 CVE 已一併移入未排程狀態。

對容器掃描器的衝擊

CVE 發布量在 2023–2026 年間從約 29,000 件/年成長至預估 59,500 件/年,NIST 無力維持全面富化。對掃描工具而言,缺少 CPE 映射意味著無法判斷哪些套件受影響;缺少 CVSS 分數則讓 CVE 以 UNKNOWN 嚴重度顯示,落在多數修補工作流的 SLA 之外。依賴 CPE 字串比對的掃描器(如未多來源整合的工具)將對大量 CVE 視而不見。

修補與緩解

Docker 的因應方案是讓 Docker Scout 聚合 22 個以上的諮詢來源(包括 CISA KEV、EPSS、GitHub Advisory Database、13+ Linux 發行版安全追蹤器),並以 Package URL(PURL)取代 CPE 進行套件識別,使套件匹配不依賴 NVD 富化狀態。具體行動建議包括:審計 2026-03-01 截止日前的未評分開放發現、確認修補 SLA 文件不以 NVD 富化日期為起算點、評估是否從 NVD 唯一來源架構遷移至多來源情報整合。合規框架(FedRAMP、PCI-DSS 4.0)的稽核期望仍需 CVSS 根據,建議組織在風險登錄表中獨立記錄評分依據。

Strapi Content Type Builder SQL 注入 CVE-2026-22599:任意檔案讀取與遠端程式碼執行

GitHub Security Advisories · 2026-05-13

Strapi 的 @strapi/content-type-builder 套件存在嚴重 SQL 注入漏洞,CVSS 4.0 評分 9.3(Critical),CVE 編號 CVE-2026-22599。攻擊者以管理員帳號透過 Content Type Builder 的寫入 API 注入任意 SQL,可讀取任意檔案、觸發 DoS,並在資料庫允許外部程式執行時達到 RCE。

漏洞機制

當建立或修改內容型別時,若在欄位定義中將 defaultTo 設為 [value, { isRaw: true }] 的 tuple 形式,value 會繞過輸入驗證直接傳入 Knex 的 db.connection.raw(),在 schema migration 階段執行任意 SQL。攻擊需要高權限管理員憑證(CVSS PR:H),但在存取受控不嚴的環境中仍構成實質威脅。

受影響版本與修補

  • @strapi/content-type-builder ≥5.0.0, <5.33.2 → 升級至 5.33.2
  • @strapi/plugin-content-type-builder ≥4.0.0, <4.26.1 → 升級至 4.26.1

修補版本將 Content Type Builder 寫入 API 限制為僅開發模式可用;在生產模式下相關端點回傳 404,從源頭消除攻擊面。

原始來源:GHSA-3xcq-8mjw-h6mxLWN.net FragnesiaDocker Blog NIST NVD

End of article

More on this topic

資安雷達
2026-05-13 — CVE-2026-45185 Exim RCE、dnsmasq 六個 CVE、SillyTavern 路徑穿越 CVSS 9.1
5 月 13, 2026 · 1 min read
資安雷達
2026-05-12 — TanStack NPM 供應鏈攻擊:OIDC Token 劫持植入憑證竊取器
5 月 12, 2026 · 1 min read
資安雷達
2026-05-11 — Hono Cache CVE-2026-44457、FreeBSD execve LPE CVE-2026-7270、90 天揭露政策終結
5 月 11, 2026 · 1 min read
0
Would love your thoughts, please comment.x
()
x