防禦建議 — 2026 第 05 週

涵蓋期間：2026-01-22 至 2026-01-28 資料來源：CISA KEV、TWCERT/CC、GovCERT.HK、NVD、Exploit-DB、CERT.at

2.1 優先修補清單

本週 CISA 共新增 11 筆活躍利用漏洞至 KEV 目錄，涵蓋 VMware vCenter Server、Cisco Unified Communications、Microsoft Office、SmarterMail、Zimbra、Vite、Versa Concerto、Linux Kernel、GNU InetUtils 及 eslint-config-prettier（供應鏈攻擊）等產品。FortiCloud SSO 繞過漏洞（CVE-2025-59718/59719）持續遭受多波攻擊活動利用。以下依優先級排序：活躍利用 > 已有 PoC > CVSS 高分。

紅色警示 — 活躍利用漏洞（CISA KEV 本週新增）

排序	CVE	廠商/產品	嚴重程度	利用狀態	CISA 修補期限
1	CVE-2024-37079	Broadcom / VMware vCenter Server	Critical	活躍利用	2026-02-13
2	CVE-2026-23760	SmarterTools / SmarterMail	Critical	活躍利用	2026-02-16
3	CVE-2025-52691	SmarterTools / SmarterMail	Critical	活躍利用	—
4	CVE-2025-68645	Synacor / Zimbra Collaboration Suite	Critical	活躍利用	2026-02-12
5	CVE-2026-20045	Cisco / Unified Communications Manager	High	活躍利用	2026-02-11
6	CVE-2025-34026	Versa / Concerto SD-WAN	High	活躍利用	2026-02-12
7	CVE-2025-54313	Prettier / eslint-config-prettier	High	活躍利用（供應鏈惡意程式碼）	2026-02-12
8	CVE-2025-31125	Vite / Vitejs	High	活躍利用	2026-02-12
9	CVE-2026-21509	Microsoft / Office	Medium-High	活躍利用	2026-02-16
10	CVE-2026-24061	GNU / InetUtils (telnetd)	High	活躍利用	2026-02-16
11	CVE-2018-14634	Linux / Kernel	High	活躍利用（歷史漏洞再度被利用）	—

1. CVE-2024-37079 — Broadcom VMware vCenter Server 越界寫入漏洞

漏洞描述：VMware vCenter Server 在 DCERPC 協定實作中存在越界寫入漏洞（CWE-787），具有網路存取權限的攻擊者可發送特製封包實現遠端程式碼執行（RCE），無需身份驗證。
影響產品：Broadcom VMware vCenter Server
修補方式：依照 Broadcom Security Advisory 指示套用安全更新。
官方公告連結：Broadcom Security Advisory NVD

2. CVE-2026-23760 — SmarterTools SmarterMail 認證繞過漏洞

漏洞描述：SmarterMail 的 force-reset-password 端點允許匿名請求重設管理員密碼（CWE-288），無需驗證現有密碼或重設令牌，攻擊門檻極低，可導致管理權限完全淪陷。
影響產品：SmarterTools SmarterMail
修補方式：更新至最新版本。
官方公告連結：SmarterTools Release Notes NVD

3. CVE-2025-52691 — SmarterTools SmarterMail 任意檔案上傳漏洞

漏洞描述：未經身份驗證的攻擊者可利用此漏洞上傳任意檔案至郵件伺服器（CWE-434），進而實現遠端程式碼執行。
影響產品：SmarterTools SmarterMail
修補方式：更新至最新版本。
官方公告連結：Singapore CSA Alert AL-2025-124 NVD

4. CVE-2025-68645 — Synacor Zimbra Collaboration Suite PHP 遠端檔案包含漏洞

漏洞描述：ZCS 的 /h/rest 端點存在 PHP 遠端檔案包含漏洞（CWE-98），攻擊者可發送特製請求影響內部請求調度，包含 WebRoot 目錄中的任意檔案。
影響產品：Synacor Zimbra Collaboration Suite (ZCS)
修補方式：依照 Zimbra Security Center 指示套用安全更新。
官方公告連結：Zimbra Security Center NVD

5. CVE-2026-20045 — Cisco Unified Communications 程式碼注入漏洞

漏洞描述：Cisco Unified CM、Unified CM SME、Unified CM IM&P、Unity Connection 及 Webex Calling Dedicated Instance 存在程式碼注入漏洞（CWE-94），攻擊者可取得使用者層級的作業系統存取權限並提升至 root。
影響產品：Cisco Unified Communications Manager 及相關產品
修補方式：依照 Cisco Security Advisory 指示套用安全更新。
官方公告連結：Cisco Security Advisory NVD

6. CVE-2025-34026 — Versa Concerto 認證繞過漏洞

漏洞描述：Versa Concerto SD-WAN 協調平台的 Traefik 反向代理配置存在認證不當漏洞（CWE-288），攻擊者可存取管理端點與 Actuator 端點，取得 heap dumps 和 trace logs。
影響產品：Versa Concerto SD-WAN
修補方式：依照 Versa Networks Security Portal 指示套用緩解措施。
官方公告連結：Versa Networks Security Portal NVD

7. CVE-2025-54313 — Prettier eslint-config-prettier 內嵌惡意程式碼（供應鏈攻擊）

漏洞描述：eslint-config-prettier 套件含有內嵌惡意程式碼（CWE-506），安裝時會執行 install.js 並在 Windows 系統上啟動 node-gyp.dll 惡意軟體。
影響產品：使用受汙染版本 eslint-config-prettier 的 Node.js 專案
修補方式：檢查專案依賴版本，移除受汙染版本並重新安裝已知安全版本。
官方公告連結：npm 版本頁面 GitHub Issue #339 NVD

8. CVE-2025-31125 — Vite Vitejs 不當存取控制漏洞

漏洞描述：Vite 開發伺服器存在存取控制漏洞（CWE-284/CWE-200），透過 ?inline&import 或 ?raw?import 參數可讀取未授權檔案。僅影響使用 --host 或 server.host 暴露至網路的開發伺服器。
影響產品：Vite (Vitejs) 開發伺服器
修補方式：套用 GitHub 修補 commit。
官方公告連結：GitHub Commit NVD

9. CVE-2026-21509 — Microsoft Office 安全功能繞過漏洞

漏洞描述：Microsoft Office 在安全決策中依賴不受信任的輸入（CWE-807），允許本地攻擊者繞過安全功能，可作為攻擊鏈的前置步驟。部分產品可能已終止支援（EoL/EoS）。
影響產品：Microsoft Office 2021（有最終修補）、Office 2019/2016（有臨時緩解措施）
修補方式：依照 Microsoft Security Update Guide 指示套用更新。
官方公告連結：Microsoft Security Update Guide NVD

10. CVE-2026-24061 — GNU InetUtils telnetd 參數注入漏洞

漏洞描述：GNU InetUtils 的 telnetd 元件存在參數注入漏洞（CWE-88），攻擊者可透過 USER 環境變數注入 “-f root” 值繞過遠端身份驗證。
影響產品：GNU InetUtils telnetd
修補方式：套用官方修補，或停用 telnetd 服務改用 SSH。
官方公告連結：Codeberg Commit ccba9f7 NVD

11. CVE-2018-14634 — Linux Kernel 整數溢位漏洞

漏洞描述：Linux Kernel 的 create_elf_tables() 函數存在整數溢位漏洞（CWE-190），允許本地使用者透過 SUID 二進位檔案提升權限。此為 2018 年漏洞，近期再度被確認遭活躍利用。
影響產品：Linux Kernel（多個發行版）
修補方式：更新 Linux Kernel 至已修補版本。
官方公告連結：Red Hat RHSA-2018:3540 NVD

黄色警示 — 高風險漏洞（CVSS >= 7.0 / 已有 PoC）

以下漏洞尚無確認的活躍利用，但已有公開 PoC 或 CVSS 評分高，建議優先評估修補。

排序	CVE / 產品	嚴重程度	PoC 狀態	修補建議
1	CVE-2025-4427 / CVE-2025-4428 — Ivanti EPMM 12.5.0.0 認證繞過 + RCE	Critical	公開 PoC（Exploit-DB #52421）	升級至 EPMM 2025.1+
2	CVE-2025-24893 — XWiki Platform SolrSearch RCE	Critical	Metasploit 模組公開	升級至 XWiki 15.10.11+ / 16.4.1+
3	CVE-2025-57174 — Siklu EtherHaul 未認證 RCE	Critical	公開 PoC（Exploit-DB #52466）	韌體更新至 10.7.3+
4	CVE-2025-57176 — Siklu EtherHaul 任意檔案上傳	Critical	公開 PoC（Exploit-DB #52467）	韌體更新至 10.7.3+
5	CVE-2025-55912 — ClipBucket 5.5.0 任意檔案上傳 RCE	Critical	公開 PoC（Exploit-DB #52435）	升級至已修補版本
6	CVE-2025-21333 — Windows Server 2025 Hyper-V LPE	High	公開 PoC（Exploit-DB #52436）	套用 Microsoft 安全更新
7	CVE-2025-14558 — FreeBSD rtsold RCE via DNSSL	High	公開 PoC（Exploit-DB #52463）	套用 FreeBSD SA-25:12 修補
8	CVE-2025-59342 — esm-dev 路徑遍歷	High	公開 PoC（Exploit-DB #52461）	更新至最新版本
9	CVE-2025-10042 — WordPress Quiz Maker SQL 注入	High	公開 PoC（Exploit-DB #52465）	升級外掛至 6.7.0.56+

台灣地區特別關注（TWCERT/CC 本月通報）

CVE	廠商/產品	CVSS	說明
CVE-2026-1221	普羅通信 PrismX MX100 AP controller	9.8	硬編碼憑證，未認證遠端攻擊。更新韌體至 v1.03.23.01+
CVE-2026-1331	哈瑪星 MeetingHub 無紙化會議	9.8	未認證任意檔案上傳 RCE。安裝修補版本 20251210+
CVE-2026-1363/1364	銘祥科技 IAQS / I6 IoT 系統	9.8	認證繞過 + 缺失身分驗證。M4 晶片有修補；M3 無修補
CVE-2026-1019/1021	金諄資訊警政統計資料庫系統	9.8	缺失身分驗證 + 任意檔案上傳。更新至 1.0.3+
CVE-2026-1022/1023	金諄資訊總體統計資料庫系統	7.5	任意檔案讀取 + 缺失身分驗證。更新至 1.0.4+
CVE-2026-0854/0855	利凌 Merit LILIN 監控設備	8.8	OS 命令注入（DVR/NVR/IP Camera）。參考公告 M00175/M00176
CVE-2026-1427/1428	葳橋資訊 SSO 系統	8.8	OS 命令注入。更新至 IFTOP_P4_181+
CVE-2025-15240	廣達電腦 QOCA aim 醫療雲平台	8.8	任意檔案上傳。更新至 v2.7.6+

國際廠商安全更新彙整（GovCERT.HK 通報，本週）

廠商	說明	建議
F5	多個產品及 F5OS 安全漏洞（1/16、1/19、1/23 三波通報）	參閱 GovCERT.HK A26-01-18
Cisco	多個產品安全漏洞（1/8、1/22 兩波通報）	參閱 GovCERT.HK A26-01-17
Oracle	Java SE 及多產品 Critical Patch Update（2026 年 1 月）	參閱 GovCERT.HK A26-01-15
Juniper	Junos OS、Junos OS Evolved、Junos Space、Paragon	參閱 GovCERT.HK A26-01-09
Microsoft	2026 年 1 月安全更新（多產品）	參閱 GovCERT.HK A26-01-05

2.2 安全控制建議

網路層面

針對本週威脅的建議：

立即封鎖對 VMware vCenter Server DCERPC 協定的非必要外部存取（對應 CVE-2024-37079）
立即將所有 Fortinet 管理介面從公共網路移除。CERT.at 觀察到自 2025-12-12 起的多波攻擊活動仍在持續（對應 CVE-2025-59718/59719），攻擊者已發展出建立後門管理帳號、API 持久存取等手法
封鎖 telnet 服務（TCP port 23）的外部存取，改用 SSH 協定（對應 CVE-2026-24061）
封鎖 WSUS 連接埠 8530/8531 的外部入站流量（對應 CVE-2025-59287 持續利用）
限制 Siklu EtherHaul 設備 TCP 555 埠的網路存取（對應 CVE-2025-57174/57176）
限制 SmarterMail 伺服器的外部存取，實施嚴格的防火牆規則（對應 CVE-2025-52691/CVE-2026-23760）
將 IoT/監控設備（Merit LILIN DVR/NVR/攝影機、銘祥科技 IAQS/I6、普羅通信 PrismX MX100）置於獨立 VLAN

通用建議：

實施網路分段，將管理介面與業務網路隔離
部署入侵偵測/防禦系統（IDS/IPS），監控已知攻擊特徵
定期審查防火牆規則，移除不必要的開放埠口

端點層面

針對本週威脅的建議：

優先部署 Microsoft Office 安全更新（對應 CVE-2026-21509），Office 2021 套用最終修補，Office 2019/2016 套用臨時緩解措施
檢查所有 Node.js 專案的 eslint-config-prettier 依賴版本，移除受汙染版本（對應 CVE-2025-54313 供應鏈攻擊）；在 Windows 開發環境中檢查是否存在 node-gyp.dll 惡意檔案
更新 Linux Kernel 至最新修補版本，限制 SUID 二進位檔案的使用（對應 CVE-2018-14634）
套用 Windows Server 2025 安全更新，確認啟用 DEP、ASLR、CFG 等漏洞利用保護機制（對應 CVE-2025-21333 公開 PoC）
檢查使用 TWCERT/CC 通報之本土 Web 應用系統的伺服器上是否存在未授權的 Web Shell 檔案

通用建議：

確保所有端點的作業系統與應用程式保持在受支援版本
部署端點偵測與回應（EDR）解決方案
實施最小權限原則，限制管理員帳號的使用

身分認證層面

針對本週威脅的建議：

所有 Fortinet 設備立即重設管理憑證並啟用 MFA；檢查是否有異常管理帳號（如 “root_admin”、”automation_user”）；檢查 API 金鑰配置（對應 FortiCloud SSO 繞過持續利用中）
SmarterMail 管理員應立即檢查是否有異常的密碼重設活動與未授權存取（對應 CVE-2026-23760）
Cisco Unified Communications 環境應審查使用者帳號權限，偵測異常的權限提升（對應 CVE-2026-20045）
檢查 Versa Concerto 管理端點的存取日誌，識別未授權存取（對應 CVE-2025-34026）
加強組織內釣魚郵件辨識訓練：近期攻擊者利用 Microsoft 365 合法服務發送偽冒「帳戶異常通知」進行魚叉式釣魚，連續寄送偽冒 OTP 通知營造緊迫氛圍

通用建議：

對所有管理介面全面啟用多因素認證（MFA）
定期輪替服務帳號密碼，禁止使用預設或弱密碼
建立特權存取管理（PAM）機制

資料保護層面

針對本週威脅的建議：

檢查 Zimbra 郵件系統中是否存在異常的檔案包含或資料存取行為（對應 CVE-2025-68645）
確認 Vite 開發伺服器未暴露至公共網路，防止原始碼與敏感檔案外洩（對應 CVE-2025-31125）
使用 Citrix 產品的組織應確認已套用 CitrixBleed2 漏洞（CVE-2025-5777/CVE-2025-6543）的修補程式，防止記憶體資料外洩
台灣地區使用金諄資訊統計資料庫系統、廣達 QOCA aim 醫療雲平台的組織，應檢查是否有異常的檔案存取或資料庫查詢行為

通用建議：

實施資料分類與標記制度
加密傳輸中與靜態的敏感資料
定期備份關鍵系統資料，並驗證備份的完整性與可恢復性

2.3 緩解策略

以下針對尚無修補方案或需要額外緩解的威脅提供策略。

1. FortiCloud SSO 繞過漏洞（CVE-2025-59718/59719）— 持續活躍利用中

CERT.at 透過蜜罐觀察，自 2025 年 12 月 12 日起已識別至少 5 波不同攻擊活動，包含：配置備份竊取、建立後門管理帳號（如 “root_admin”）、透過 WebSocket 終端執行命令、建立 API 金鑰以維持持久存取。截至 2026-01-22 攻擊仍持續進行中。

緩解措施：

立即將所有 Fortinet 管理介面從公共網路移除
檢查所有管理帳號，刪除非授權帳號
檢查 API 金鑰配置，移除可疑的 API 使用者與存取設定
匯出並審查完整設備配置，確認是否遭篡改
重設所有管理員密碼與 OTP 設定

有效期限：持續執行直至 Fortinet 發布完整修補並確認漏洞已完全修復。建議每週重新評估。下次評估日期：2026-02-04。

2. SonicWall SMA100 持久性後門（UNC6148）

Google 威脅情報小組（GTIG）揭露駭客組織 UNC6148 即使在設備已安裝官方更新後，仍能利用先前竊取的管理憑證與 OTP 重新入侵，植入持久性後門。

緩解措施：

修補後完整重設所有管理憑證與 OTP
審查設備存取日誌，識別可疑的管理員活動
考慮重新初始化設備至原廠設定後再套用更新
必要時尋求資安公司協助執行數位鑑識分析

有效期限：持續執行至確認後門已完全移除。建議每 2 週重新評估。下次評估日期：2026-02-11。

3. 銘祥科技 IAQS / I6 系統（CVE-2026-1363/1364）— M3 晶片設備無修補

廠商未提供 M3 晶片設備的安全更新支援，兩個漏洞 CVSS 均為 9.8。

緩解措施：

將受影響設備置於獨立網段，限制網際網路直接存取
在網路層實施嚴格的防火牆規則，僅允許受信任的 IP 位址存取
加強存取日誌監控，設定異常存取告警
規劃更換為支援安全更新的 M4 晶片設備

有效期限：直到設備更換完成為止。建議每月重新評估。下次評估日期：2026-02-28。

4. 利凌 Merit LILIN 停產型號監控設備（CVE-2026-0854/0855）

IPD、IPR、LD、LR 型號已終止支援，不會收到韌體更新。

緩解措施：

限制設備管理介面的網路存取，僅允許可信任的 IP 位址連線
變更所有攝影機的預設帳號密碼，使用強密碼策略
將攝影機網段與企業內網隔離
規劃汰換停產設備

有效期限：直到設備汰換完成為止。建議每月重新評估。下次評估日期：2026-02-28。

5. eslint-config-prettier 供應鏈攻擊（CVE-2025-54313）

受汙染的 npm 套件版本可能已被安裝在開發環境中。

緩解措施：

立即盤點所有專案的 package-lock.json / yarn.lock，確認 eslint-config-prettier 版本
移除受汙染版本並重新安裝已知安全版本
在 Windows 開發環境中檢查是否存在 node-gyp.dll 惡意檔案
強化 CI/CD 管線中的依賴掃描機制（如 npm audit、Snyk 等）

有效期限：一次性清理後持續監控。建議 2 週內完成全面盤點。完成目標日期：2026-02-11。

6. ASUS 路由器 Operation WrtHug — CVE-2023-39780

SecurityScorecard STRIKE 團隊揭露全球超過 50,000 台 ASUS 路由器（8 個型號）被感染，利用 AiCloud 服務的已知漏洞進行 OS 指令注入。

緩解措施：

立即更新韌體至最新版本
停用不必要的 AiCloud 服務
汰換已終止支援的舊款設備（4G-AC55U、4G-AC860U、DSL-AC68U 等）
變更路由器管理密碼

有效期限：直至韌體更新完成。EoL 設備應於 2026-03-31 前完成汰換評估。

2.4 注意事項

建議的適用範圍與限制

本報告中的活躍利用漏洞資訊來自 CISA KEV 目錄與 CERT.at 分析，主要反映國際威脅態勢。各組織應結合自身環境中實際部署的產品與版本進行風險評估。
台灣地區特別關注的漏洞（TWCERT/CC 通報）主要影響台灣本地廠商產品，國際組織可能不適用。
GovCERT.HK 通報的 F5、Cisco、Oracle、Juniper、Microsoft 多產品漏洞為綜合性公告，具體受影響產品與 CVE 請參考各廠商原始安全公告。
PoC 可用的漏洞（Exploit-DB 來源）尚未確認在野活躍利用，但公開 PoC（特別是 Metasploit 模組）會大幅降低攻擊門檻。
攻擊事件情報（L1 層）如社交工程釣魚、半導體產業 APT 攻擊等為背景脈絡參考，具體 IoC 請向相關 CERT 機構索取。

可能的副作用

封鎖 Fortinet 管理介面的外部存取：可能影響遠端管理人員的操作，建議設定 VPN 或跳板主機作為替代方案。
停用 telnet 服務：依賴 telnet 的老舊系統可能受影響，需事先規劃遷移至 SSH。
eslint-config-prettier 版本鎖定：可能暫時影響開發環境的依賴更新流程。
重設 Fortinet/SonicWall 管理憑證：可能短暫中斷管理存取，建議安排在維護時段執行。
監控設備網路隔離：可能影響遠端監控的即時性，需評估是否透過 VPN 提供存取。
WSUS 連接埠封鎖：可能影響依賴 WSUS 進行更新的用戶端，請確保替代更新機制可用。

建議的測試步驟

修補前測試：在測試環境中套用安全更新，確認不影響系統正常運作
修補後驗證：使用漏洞掃描工具確認漏洞已被修補
回滾計畫：為每項修補準備回滾方案，以因應修補後的相容性問題
功能驗證：修補後驗證關鍵業務流程是否正常運作
監控期間：修補後至少監控 48 小時，觀察是否有異常行為
韌體更新：IoT/監控設備韌體更新前，確認備份現有設定，以便更新失敗時回復
防火牆規則變更：在套用新的阻擋規則前，先以日誌模式（log-only）觀察流量影響

免責聲明

本防禦建議基於國際 CERT/安全機構公開資料彙整，請注意：

非保證：實施建議不保證完全防禦所有威脅
環境差異：建議為通用性質，可能不適用於所有環境
請先測試：在正式環境部署前，請先於測試環境驗證
非法律建議：本報告不構成法律或合規建議
資料限制：基於公開資料，不涵蓋非公開威脅情報
翻譯風險：部分非英文來源經 AI 翻譯，修補建議請以官方原文為準

重大安全決策請諮詢專業資安顧問，並結合組織實際環境評估。

產出時間：2026-01-28 資料涵蓋期間：2026-01-22 至 2026-01-28 資料來源層：L1 資安新聞事實層、L2 漏洞追蹤層、L3 漏洞利用情報層