資安漏洞警報:Bitwarden CLI 供應鏈攻擊震撼資安界
2026年5月第一個重大資安漏洞警報,嚟自一個冇人估到嘅方向 — 密碼管理器。
4月22日 UTC 時間 21:57 至 23:30,Bitwarden CLI v2026.4.0 喺 npm registry 上被發現含有惡意程式碼(CVE-2026-42994,CVSS 9.8)。雖然受影響嘅時間窗口只有約 1.5 小時,但 Bitwarden CLI 每月 npm download 超過 10 萬次,任何喺呢段時間內執行過 `npm install -g @bitwarden/cli` 嘅用戶都有可能中招。
Checkmarx 安全研究團隊發現攻擊者透過入侵 Bitwarden 嘅 npm publish token,喺呢個極短嘅窗口內發布咗一個 trojanized 版本。惡意程式碼會竊取環境變數中嘅 API key、token 同 credential — 呢啲正正係 CI/CD pipeline 最常用嘅 secrets 儲存方式。
Bitwarden 官方喺 4 月 23 日緊急發布 v2026.4.1 修正版本,並強烈建議所有用戶:
立即檢查 `npm list -g @bitwarden/cli` 確認版本
如果安裝咗 v2026.4.0,立即 rotate 所有 credential
審計 CI/CD pipeline log,檢查有冇可疑嘅 network connection
今次資安漏洞事件再次證明:supply chain security 唔係 optional — npm token、PyPI token、Docker Hub token 都要當 production secret 咁管理,用 short-lived token + OIDC 而唔係長期有效嘅 personal access token。
資安漏洞警報:PHP 五月安全更新 4 個 Critical CVE 同時修補
PHP 開發團隊喺 5 月 10 日發布咗一個緊急安全更新,一次過修補咗多個 CVSS 9.8 級別嘅嚴重資安漏洞,影響 PHP 8.2、8.3、8.4、8.5 所有主流版本。
最值得關注嘅包括:
**CVE-2025-14179**:PDO Firebird driver 喺 prepare SQL query 時 improper handling NUL bytes,attackers 可以透過注入 NUL byte 繞過 SQL query 限制,達到 SQL injection 效果。如果你嘅 PHP app 用 Firebird database,呢個係 top priority patch。
**CVE-2026-6722**:SOAP extension 嘅 object deduplication 機制有漏洞,會 store pointer to PHP object 喺 global map 入面,attackers 可以透過精心構造嘅 SOAP request 達到 remote code execution。任何用 SOAP web service 嘅 PHP app 都要即刻 update。
**CVE-2026-7261**:當 SoapServer 設定為 `SOAP_PERSISTENCE_SESSION` 時,handler object 會跨 session 被 persist,導致 session hijacking 同 unauthorized access。
受影響版本同修正版本對照:
PHP 版本 | 受影響 | 修正版本
——— | ——– | ———
8.2.x | < 8.2.31 | 8.2.31
8.3.x | < 8.3.31 | 8.3.31
8.4.x | < 8.4.21 | 8.4.21
8.5.x | < 8.5.6 | 8.5.6
PHP 團隊建議所有 production server 喺 48 小時內完成 update。考慮到 PHP 仍然係全球最多網站使用嘅 backend language(根據 W3Techs 數據超過 75%),呢次資安漏洞影響範圍極大。
資安漏洞警報:WordPress Plugin 4 個 Critical 等級漏洞
WordPress 世界嘅五月都唔太平。NVD 收錄咗至少 4 個 CVSS 9.8 級別嘅 WordPress plugin 資安漏洞:
**Temporary Login 插件**(CVE-2026-7567):Authentication bypass,攻擊者可以繞過登入驗證。受影響版本 ≤1.0.0,建議直接刪除呢個 plugin。
**User Registration Advanced Fields**(CVE-2026-4882):Arbitrary file upload,因為冇做 file type validation,攻擊者可以直接 upload PHP shell。受影響版本需要等廠商更新。
**TheCartPress**(CVE-2021-47932):雖然係 2021 年發現嘅漏洞,但近日被重新評級為 CVSS 9.8。未經認證嘅 privilege escalation 漏洞,攻擊者可以建立 admin account。TheCartPress 已經停止維護,用緊嘅網站應該立即 migrate。
**MStore API**(CVE-2021-47933):同樣係舊漏洞重新評級。Arbitrary file upload via REST API endpoint,攻擊者可以未經認證 upload malicious file。
WordPress 網站管理員應該立即登入 admin panel,檢查所有 plugin 嘅更新狀態。特別提醒:TheCartPress 同 MStore API 兩個 plugin 如果仲喺 production site 上面行緊,建議即時停用並尋找替代方案。
資安漏洞警報:hashcat 7.1.2 發現多個 Buffer Overflow
密碼破解工具 hashcat v7.1.2 被發現存在 3 個 critical buffer overflow 漏洞(CVE-2026-42482、CVE-2026-42483、CVE-2026-42484),全部 CVSS 9.8。漏洞存在於 Kerberos hash parser 同 PKZIP hash parser 入面,attackers 可以透過特製嘅 hash file 觸發 heap-based 或 stack-based buffer overflow,導致 denial of service 甚至 remote code execution。
雖然 hashcat 通常用喺 offline 環境,但滲透測試人員同安全研究員經常會處理嚟自 untrusted source 嘅 hash dump。如果你嘅 workflow 涉及處理第三方 hash file,請確保 hashcat 已經更新到最新版本。
資安漏洞 5月總結與建議
2026年5月嘅資安漏洞趨勢顯示三個重點:
**Supply chain 攻擊持續升溫** — Bitwarden CLI 事件反映 npm/PyPI 等 package registry 仍然係 attackers 嘅重點目標
**PHP ecosystem 仍然係高危區域** — 4 個 critical CVE 喺同一個月內發布,所有 PHP server 必須保持 update
**WordPress plugin 風險不容忽視** — 多個已停止維護嘅 plugin 被發現 critical vulnerability,冇人會幫你 fix
企業 IT 團隊應該即刻做以下三件事:
Scan 所有 production server 嘅 PHP 版本
Audit CI/CD pipeline 入面用緊嘅 npm packages
Review WordPress site 嘅所有 active plugin
📌 延伸閱讀:Anthropic Mythos引發全球資安警報:2026 AI模型安全危機 — AI資安漏洞同樣係今年焦點!另外 ExaGrid 分層備份儲存實戰分析 教你防禦 ransomware 資安漏洞。
🔗 參考來源:NVD CVE Search | Bitwarden Security Advisory | PHP ChangeLog
