Apache Atlas 儲存型 XSS 漏洞(CVE-2025-62198)
oss-security · 2026-06-20
Apache Atlas 元資料管理平台於 2026 年 6 月 20 日揭露一枚儲存型跨站腳本(Stored XSS)漏洞,編號 CVE-2025-62198,影響 2.4.0 及更早版本。具備系統存取權限的已認證使用者可在「建立實體(Create Entity)」頁面植入惡意腳本,腳本將持久儲存於應用程式中,對後續造訪同一頁面的使用者發動 XSS 攻擊。漏洞由安全研究員 Grzegorz Misiun 回報,嚴重性評級為「Important(重要)」。
漏洞機制
Atlas 的 Create Entity 介面在接收使用者輸入時,未對欄位值進行充分的輸出編碼與輸入驗證,導致攻擊者可在實體屬性欄位中注入任意 HTML 或 JavaScript。注入的腳本會持久儲存在 Atlas 後端,當其他使用者(包含管理員)瀏覽同一實體頁面時,惡意腳本便在受害者的瀏覽器環境中執行。此類 Stored XSS 不需要受害者點擊特製連結,只要正常瀏覽受污染的實體頁面即可觸發,可被用於竊取 Session Token、發動 CSRF 攻擊或將受害者重導向至釣魚頁面。
受影響版本
- Apache Atlas ≤ 2.4.0(含)
Apache Atlas 2.5.0 修正了相關輸入驗證缺口,為目前唯一的官方修補版本。尚未升級的部署應視內部 Atlas 使用者的權限管控現況評估風險暴露程度。
修補與緩解
官方建議所有使用者儘速升級至 Apache Atlas 2.5.0。在無法立即升級的環境中,應考慮限制 Create Entity 功能的存取權限,僅允許受信任的管理帳號操作,並部署 WAF 規則以偵測常見的 XSS payload 特徵,例如 <script> 標籤或 javascript: 偽協議。
Vim 雙漏洞:zip.vim PowerShell 指令注入與虛擬文字越界讀取
oss-security · 2026-06-20
2026 年 6 月 20 日,Vim 專案在 oss-security 郵件清單上同日揭露兩枚獨立安全漏洞:其一為 zip.vim 外掛在 Windows PowerShell 備援路徑中的指令注入問題,其二為虛擬文字屬性(virtual text property)的越界讀取(Out-of-Bounds Read)問題。兩枚漏洞目前均尚未取得正式 CVE 編號,已於 Vim 9.2.0678 與 9.2.0679 連續兩個修補版本中分別修復。
漏洞機制
指令注入漏洞源自 zip.vim 在系統缺少 unzip/zip 原生工具時所啟動的 PowerShell 備援邏輯。zip.vim 使用 shellescape() 對壓縮檔內項目名稱進行 Shell 層級的引用,但 PowerShell 的解析規則與 POSIX shell 不同:包含 $(...) 子表達式的項目名稱可繞過引用保護,在 browse、read、extract、delete、update 等操作中觸發任意指令執行,無需使用者進行明確的解壓縮步驟。此漏洞嚴重性評為「Moderate(中等)」,實際影響侷限於未安裝 unzip/zip 的 Windows 環境。
越界讀取漏洞則存在於 Vim 的文字屬性(text property)儲存機制。虛擬文字屬性的 offset 與 length 數值直接從 undo 檔案或 swap 檔案中讀取,未經範圍驗證便轉換為指標,若數值超出有效範圍,後續字串讀取操作將存取到鄰近的堆積記憶體,可能導致記憶體內容洩漏或程式崩潰,嚴重性評為「Medium(中)」。
受影響版本
- zip.vim 指令注入:Vim > 9.1.1783 且 < 9.2.0678
- 越界讀取:Vim ≥ 9.2.0320 且 < 9.2.0679
修補與緩解
指令注入問題已在 Vim v9.2.0678 修復,修補方式為針對 PowerShell 解析語境進行專屬的逸出處理,而非沿用 shell 層級引用。越界讀取問題已在 Vim v9.2.0679 透過新增驗證函式 text_prop_vtext_valid() 加以修復,確保 offset 與 length 數值在轉換為指標前通過有效範圍檢查。若無法立即升級,請避免以 Vim 開啟來源不明的 ZIP 壓縮檔,並停止載入來自不受信任來源的 undo 或 swap 檔案。
原始來源:oss-security 2026/06/20/2(zip.vim 指令注入)、oss-security 2026/06/20/3(越界讀取)
Apache NiFi 四項授權與注入缺陷(CVE-2026-44911 / 44913 / 44914 / 54665)
oss-security · 2026-06-20
Apache NiFi 資料流程自動化平台於 2026 年 6 月 20 日集中揭露四枚安全漏洞,涵蓋錯誤授權、SQL 注入、限制元件繞過及代理標頭注入等不同攻擊類型,編號分別為 CVE-2026-44911、CVE-2026-44913、CVE-2026-44914 及 CVE-2026-54665。所有問題均已在 Apache NiFi 2.10.0 版本中修復,部分漏洞亦可透過調整部署配置降低風險。
漏洞機制
CVE-2026-44911 存在於元件設定驗證請求(configuration verification request)的處理邏輯:僅持有唯讀存取權的使用者可提交擬議的設定屬性,覆蓋現行設定並觸發驗證方法執行,等同於以未授權參數配置操作敏感功能。此問題由南洋理工大學的 Kaixuan Li 於 2026 年 4 月 21 日回報。
CVE-2026-44913 位於 CaptureChangeMySQL Processor 的資料庫表名處理邏輯:雖然 1.8.0 版已加入引號邊界保護,但仍未涵蓋所有注入向量,攻擊者可透過特製的資料庫表名注入任意 SQL 指令(追蹤編號 NIFI-15905,由 NATO 網路安全中心的 Roberto Suggi Liverani 發現)。CVE-2026-44914 涉及 Process Group 替換操作中對 Restricted 標註元件的授權檢查不足,一般寫入權限的使用者可透過替換 Process Group,繞過需要提升權限才能新增的限制元件保護(追蹤編號 NIFI-15845,同樣由 Roberto Suggi Liverani 回報)。
CVE-2026-54665 為 Jetty 層的代理標頭注入問題:NiFi 從 1.6.0 版起對標準 Host 標頭實施了限制,但未對 X-ProxyHost 及 X-Forwarded-Host 等替代標頭套用相同驗證,允許客戶端操縱 NiFi 建構無效的重導向 URL 或資料參考連結,由 Jose Rivas 回報。
受影響版本
CVE-2026-44911(錯誤授權):Apache NiFi 1.15.0 – 2.9.0CVE-2026-44913(SQL 注入):Apache NiFi 1.2.0 – 2.9.0(僅影響使用 CaptureChangeMySQL Processor 的部署)CVE-2026-44914(限制元件繞過):Apache NiFi 1.12.0 – 2.9.0CVE-2026-54665(代理標頭注入):Apache NiFi 0.0.1 – 2.9.0
修補與緩解
官方建議升級至 Apache NiFi 2.10.0,該版本同時修復上述四項問題。針對 CVE-2026-54665,升級後需確保部署採用 HTTPS 並在 nifi.properties 中正確設定 nifi.web.proxy.host 屬性;前端反向代理伺服器亦應負責過濾入站請求標頭,僅轉發已核准的值。未使用 CaptureChangeMySQL Processor 的部署不受 CVE-2026-44913 影響;對讀寫操作採用差異化授權層級的部署亦不受 CVE-2026-44911 影響。
原始來源:oss-security /4(CVE-2026-44911)、/5(CVE-2026-44913)、/6(CVE-2026-44914)、/7(CVE-2026-54665)