Cloudflare WAF 整合即時威脅情報:O(1) 查詢攻擊者 IP 的背景與產業分類
Cloudflare Blog · 2026-06-08
Cloudflare 在 WAF 規則引擎中新增五個 cf.intel.ip 欄位,允許客戶在自訂 Firewall Rule 中直接引用 Cloudforce One 的威脅情報,根據攻擊者群體(attacker_names)、目標產業(target_industries)、來源國家(attacker_countries)等維度即時封鎖請求。所有資料集以高效壓縮格式分發至全球每個 Cloudflare 資料中心,查詢延遲為常數時間(O(1))。
漏洞機制(FUXA SCADA 三連 CVE)
工業 SCADA 套件 FUXA(fuxa-server,npm)在 2026-06-08 同時揭露三個相互獨立的漏洞:
- CVE-2026-47719(High,GHSA-w86f-rf9w-h3x6):未認證的 SSRF,透過 Socket.IO 的
DEVICE_WEBAPI_REQUEST與DEVICE_PROPERTY事件觸發,攻擊者可讀取回應 - CVE-2026-47720(Moderate,GHSA-h9fj-c2qr-76g2):TDengine DAQ 連接器的 SQL Injection,透過反斜線繞過
escapeTdString - CVE-2026-47721(Moderate,GHSA-8ghr-w65f-j3qr):排程 API 缺少 admin 權限檢查,允許 operator 角色透過排程裝置動作提升至 admin
FUXA 被廣泛用於工業物聯網視覺化平台,這三個漏洞組合可在無認證的情況下先透過 SSRF 探測內網,再利用 SQL Injection 取得資料存取權,最後透過提權完全接管系統。
Netty 批次 CVE:DNS 毒化、HTTP/3 DoS、QUIC 繞過
2026-06-08 發布的 Netty 批次修補涵蓋 10 個以上 CVE,主要類別如下:
- CVE-2026-45416(CVSS 7.5,GHSA-x4gw-5cx5-pgmh):
SniHandler.decode()讀取 24-bit TLS handshake 長度後直接 pre-allocate 緩衝區,預設的maxClientHelloLength=0(無限制)讓攻擊者以 9 個位元組觸發 16 MiB 配置;修補版本:4.1.135.Final/4.2.15.Final - CVE-2026-45673/45674(DNS Cache Poisoning):DNS resolver 缺少 CNAME 與 NS 記錄的 Bailiwick 驗證,加上 PRNG 可預測性,允許快取投毒
- CVE-2026-44892(High):HTTP/3 預設設定未限制 header 大小,可造成 DoS
- CVE-2026-44894(High):QUIC 的預設 token handler 接受任何客戶端提供的 token,繞過連線驗證
受影響版本
io.netty:netty-handler4.1.x ≤ 4.1.134.Final → 升至 4.1.135.Finalio.netty:netty-handler4.2.x ≤ 4.2.14.Final → 升至 4.2.15.Final- DNS、HTTP/3、QUIC 模組同步更新
原始來源:Cloudflare — Real-time Threat Intel WAF Rules、GHSA-w86f-rf9w-h3x6 (FUXA SSRF)、GHSA-x4gw-5cx5-pgmh (Netty SNI)
End of article