- 2026-01-30 請加強防範偽冒行政院名義之社交工程郵件攻擊
資安院接獲外部情資,攻擊者偽冒行政院名義,寄送包含惡意下載連結之社交工程釣魚郵件,誘導收件者點擊郵件內釣魚連結並下載惡意檔案。敬請使用者提高警覺,避免點擊該郵件帳號寄送之信件、釣魚連結與附檔,以免受駭。主旨為修正「就業安定基金收支保管及運用辦法」第5條條文
【】 - 2026-01-28 GNU Inetutils telnetd包含重大漏洞(CVE-2026-24061)
GNU Inetutils的telnetd(telnet daemon)對USER變數驗證不當,攻擊者透過telnet連線中加入-f root值,得以繞過驗證流程,獲得root權限,由於此漏洞易於操作且不需使用者互動,濫用後果嚴重性極高,NIST將之CVSS風險評分列為9.8,建議使用者儘速更新軟體,或是關閉Telnet服務透過其他方式連線伺服器。
【iThome】 - 2025-12-26 MongoDB資料庫包含高風險漏洞(CVE-2025-14847)
MongoDB資料系統存在參數處置不當漏洞(CVE-2025-14847),未經身分驗證之遠程攻擊者可透過該漏洞觸發記憶體堆疊問題,導致MongoDB記憶體洩漏敏感資訊,建議使用者盡速更新至未受影響之版本,以及評估MongoDB公開於網際網路之必要性。
【iThome】 - 2025-12-04 React 與 Next.js 爆發「React2Shell」重大漏洞(CVE-2025-55182 及 CVE-2025-66478)
此漏洞被命名為「React2Shell」,CVSS評分值為滿分10分,React Server Components (RSC)「Flight」通訊協定包含不安全的反序列化處理缺陷,攻擊者無需透過任何身分驗證,發送特製的 HTTP 請求,即可在受害伺服器上執行任意 JavaScript 程式碼,進而完全控制伺服器。 請使用者立即確認相關套件的版本,並盡速完成更新!
【BLEEPINGCOMPUTER】 - 2025-11-03 Cisco IOS與IOS XE 軟體存在高風險安全漏洞,請儘速確認並進行修補
Cisco IOS/IOS XE設備包含CVE-2025-20352漏洞,CVSS評分高達7.7分,在符合特定條件下,攻擊者可透過特製snmp封包觸發堆疊型緩衝區溢位漏洞,不僅可能導致網路中斷(DoS),更恐使攻擊者取得核心網路設備的最高權限,進而攔截、竄改或橫向滲透內部網路,該漏洞被列為「已知遭駭客利用」(Known Exploited Vulnerability, KEV)之一,請管理者盡速確認設備是否為受影響版本,並盡速評估更新!
【國家資通安全研究院】