CVE-2026-46716(CVSS 9.9 Critical):Nezha Monitoring 跨租戶 RCE,任意成員可在所有受監控主機執行 Shell
GitHub Security Advisories (GHSA-99gv-2m7h-3hh9) · 2026-05-23
Nezha Monitoring 的 POST /api/v1/cron 端點存在嚴重授權繞過漏洞,CVSS 評分 9.9 Critical(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。具有任意成員角色的認證使用者可透過此漏洞,在 Nezha 部署中所有已連線受監控主機上執行任意 shell 命令,橫跨所有租戶邊界。
漏洞機制
此漏洞由三個設計缺陷鏈接組成:
- Auth gate 錯誤配置:cron 端點(
POST /api/v1/cron、PATCH /api/v1/cron/:id)使用commonHandler(任意認證使用者)而非adminHandler - 空清單恆真繞過:
createCron()的伺服器列表權限檢查採 for-range 實作,當cf.Servers == []時迴圈執行零次,直接回傳true,允許任意伺服器清單 - 無限制廣播:
CronTrigger()遍歷全域狀態中所有主機分發命令,無任何 per-server 所有權驗證
命令輸出透過攻擊者控制的 Webhook 回傳,使攻擊者可完整讀取執行結果。由於 Nezha Agent 通常以 root 權限執行,且系統預設支援 OAuth2 自助註冊,攻擊門檻在某些部署中幾近未認證。
受影響版本
- 受影響:
>= 1.4.0, < 1.14.15-0.20260517022419-d7526351cf97 - 已修補:
1.14.15-0.20260517022419-d7526351cf97
修補與緩解
官方修補將 cron 端點改用 adminHandler,並在 CronTrigger() 加入 per-server 授權檢查。臨時緩解措施:在 Nezha 前端部署反向代理,攔截非管理員對 /api/v1/cron 的寫入請求,並關閉 OAuth2 開放自助註冊。
CVE-2026-47138:Parse Server 未認證 ReDoS,版本標頭 Regex 回溯可使 Node.js Worker 停頓數分鐘
GitHub Security Advisories (GHSA-38m6-82c8-4xfm) · 2026-05-23
Parse Server 在處理 X-Parse-Client-Version 請求標頭及 _ClientVersion JSON 欄位時,存在多項式 Regex 回溯(ReDoS)漏洞,CVSS v4 評分 8.7 High(CWE-1333)。攻擊者無需認證,僅需知曉公開的 Application ID 即可觸發,單一請求可使 Node.js worker 停頓數秒至數分鐘。
漏洞機制
Parse Server 會在認證流程之前、速率限制生效之前解析版本標頭,對精心構造的「對抗性輸入」觸發版本字串正規表達式的指數回溯。由於攻擊在認證前執行,現有的 auth 與 rate limiting 防護均無法阻止此問題。少量並發請求即可使服務器資源飽和,造成拒絕服務。
攻擊面有兩個入口:HTTP 標頭 X-Parse-Client-Version 與 JSON body 中的 _ClientVersion 欄位,需同時防護,僅限制標頭不足以緩解。
受影響版本
- 受影響:
>= 9.0.0, < 9.9.1-alpha.1或< 8.6.77 - 已修補:
9.9.1-alpha.1(9.x 系列)、8.6.77(8.x 系列)
修補與緩解
修補版本完全移除 client SDK 版本解析機制——clientSDK 參數及其 parser 整個刪除,標頭與欄位在所有 /parse/* 路由上被靜默忽略。無法立即升級的部署應在反向代理或 WAF 層對這兩個欄位設定嚴格的長度限制或直接移除,以阻斷 payload 抵達應用層。
原始來源:GHSA-38m6-82c8-4xfm
Android 2026 安全與隱私更新:後量子加密、AI 詐騙偵測與硬體隔離 AI 運算
Google Security Blog · 2026-05-24
Google 在 2026 年 I/O 期間詳細披露 Android 17 與 2026 年度安全更新,涵蓋後量子密碼學、AI 驅動的詐騙防護、設備竊盜保護強化與隱私控制機制,從作業系統到硬體信任根全面升級。
核心安全功能
後量子加密(PQC):Android 17 引入量子抗性加密,用於長期資料保護。AISeal with pKVM 在 Private Compute Core 中建立硬體支援的隔離環境,讓 Gemini Intelligence 的環境感知處理在無法被系統其他元件存取的飛地中執行,資料不離開設備。
銀行詐騙電話驗證:新的「verified financial calls」功能對比來電者 ID 與合作銀行應用,自動識別並中斷假冒銀行的詐騙電話,首批整合 Revolut、Itaú 和 Nubank。Live Threat Detection 擴大偵測範圍至 SMS 轉發、Accessibility overlay 濫用、圖示隱藏和背景啟動等惡意行為,並在 Android 17 設備上支援透過動態推送規則因應新興威脅。
隱私改進
- 臨時精確位置按鈕:僅在應用活躍使用期間授予精確位置,消除持續追蹤需求
- 聯絡人選擇器:應用只能請求特定聯絡人存取,而非整個通訊錄
- OTP 自動保護:系統自動對大多數應用隱藏 OTP 達三小時
- 2G 關閉切換:電信業者可預設關閉 2G 網路,消除降頻攻擊風險
設備竊盜防護
「Mark as lost」功能改為需要生物辨識加密碼雙重認證,PIN 暴力破解嘗試次數大幅降低並延長等待時間。Android 17 開始在 Pixel 上提供 OS 真實性驗證,透過 append-only ledger 對比官方 Android 建構版本,偵測惡意修改版本。
原始來源:Google Security Blog