
ColdFusion 兩小時就有人打,NPM 同 AI 工具都要重新收緊
開發機、CI runner、SSH 同 MCP server,今次全部都係攻擊面
幾條新聞,其實係同一個訊號
iThome 報道 7 月 7 日資安日報提到,ColdFusion CVE-2026-48282 喺細節公開後好快就有攻擊流量;同一日仲有 Lazarus-linked NPM 套件、OpenSSH 10.4、ChatGPT 下載流程漏洞、Godot AI 貢獻規矩同 MCP 新規格。逐條睇似係幾單獨立新聞,但放埋一齊睇,就見到攻擊面已經伸到開發機、CI runner、SSH 管理路徑同 AI agent workflow;IT admin 唔可以只睇 public website 同防火牆。

圖片:JFrog Security Research
ColdFusion 係今日要 patch 嗰類舊債
Adobe 6 月 30 日 APSB26-68 公告列明,ColdFusion 2025 Update 9 或之前、ColdFusion 2023 Update 20 或之前受影響,修補版係 2025 Update 10 同 2023 Update 21。入面有 6 個 10.0 分 ColdFusion 漏洞,CVE-2026-48282 係 path traversal,可令攻擊者唔使登入就跑 code。BleepingComputer 引述 KEVIntel 話,細節公開後兩小時內蜜罐已見到攻擊,CCCS 亦叫管理員盡快上 patch。呢種 enterprise app 好多時喺角落跑咗好多年,平時冇人掂,一爆 CVSS 10 就變成掃描器第一站。
NPM 呢單唔係 typo-squatting 咁簡單
JFrog 嘅研究最值得開發者即刻掃 lockfile。佢哋話有 6 個惡意 NPM 套件扮 Rollup polyfill 工具,入口名包括 rollup-packages-polyfill-core 同 rollup-runtime-polyfill-core,會再拉第二層套件,最後用 JSONKeeper 回傳 JavaScript 再 eval。最麻煩係 payload 針對開發環境:搵 .env、.ssh、雲端憑證、Cursor/Windsurf/Claude 設定、瀏覽器資料同加密貨幣錢包,仲有 clipboard 監控同 remote access。即係你部開發機或者 CI runner 中招,漏出去嘅唔止係一個 app,可能係成條發布鏈。
OpenSSH 10.4 要升,但先睇變更
OpenSSH 10.4 喺 7 月 6 日出,官方 release notes 寫明有多個 security fix:sftp 下載可俾惡意 server 放去意料之外位置、scp remote-to-remote copy 可寫到目標上層目錄、sshd 喺 GSSAPI 開啟時有 pre-auth DoS 風險。另一個要先測嘅位係 Linux 上 seccomp sandbox 啟用失敗而家會變 fatal,舊環境、自編 build、container image 可能會踩到。後量子簽名支援今次只係 experimental,預設冇開;最要排期嘅,係安全修補同相容性測試。
AI 工具嘅問題,開始由 prompt 走到權限邊界
zer0dac 公開嘅 ChatGPT PoC 幾值得睇,因為佢唔係單純叫模型講漏嘢。流程係先上載檔案,再用多輪 prompt 令模型吐出下載 URL,之後改 sandbox_path 做 path traversal,最後讀到 sandbox 入面嘅 /etc/passwd。研究者話 OpenAI 已經改咗 URL download flow,而且 sandbox 限制令直接敏感資料外洩有限;不過重點係,AI guardrail 同傳統 web bug 可以串成一條攻擊鏈。你畀 AI 工具讀檔、改檔、連 repo,就要當佢係有權限嘅 app 嚟管。
Godot 同 MCP 都係權限題
Godot Foundation 6 月 30 日講到好白:自主 AI agent 同 vibe coding 交 PR 會繼續 auto-ban,大段 AI 生成 code 唔收,用 AI 幫手亦要披露。呢條規矩重點放喺責任:維護者要知道邊個對 code 負責。MCP 2026-07-28 release candidate 另一邊就拎走 protocol-level session,改做 stateless core、Tasks、MCP Apps 同授權收緊。呢個設計方便 scale,不過 app 自己要管 state handle、_meta、header 同 token scope;信錯 client 傳返嚟嘅 metadata,就有跨 tenant 或越權風險。AI agent 用得越似日常同事,權限、審批同 audit trail 就越要正式管,唔好當 demo 設定算數。
實務上點做
對本地 agency、freelance developer、SME IT,今次唔使開大會先做。第一,查有冇跑 ColdFusion 2025 Update 9 / 2023 Update 20 或之前版本,有就上 patch 同睇 log。第二,掃 package-lock.json、pnpm-lock.yaml 同 CI cache,見到 JFrog 列出嗰 6 個 package 就當機器已受污染處理,先清 persistence 再 rotate token、SSH key、cloud key。第三,OpenSSH 10.4 先喺 staging 試 seccomp 同 config dump 差異。第四,AI coding tool 同 MCP server 要分權限,唔好畀同一個 token 同時讀 repo、開 issue、deploy 同讀客戶資料。
下一步睇咩
ColdFusion 嗰邊要睇 CISA 會唔會收 CVE-2026-48282 入 KEV catalog,NPM 呢邊要睇惡意 package 係咪仲有變種,MCP 就睇 7 月 28 日最終規格有冇再改安全要求。講真,AI coding 同 agent connector 令開發快咗,但佢哋亦令攻擊者容易過以前咁貼住開發流程打;用得越多,越要審計、最小權限同 token rotate 變成日常工序。
參考來源
- iThome — 【資安日報】7月7日,揭露兩小時後ColdFusion滿分漏洞就遭到利用 — original report
- Adobe Security Bulletin APSB26-68 — 確認 ColdFusion 2025/2023 受影響版本、修補版同 CVE 分數。
- BleepingComputer:Max severity Adobe ColdFusion flaw now exploited in attacks — 確認 KEVIntel/CCCS 對 CVE-2026-48282 真實攻擊跡象嘅說法。
- JFrog Security Research:Lazarus-Linked npm Malware Masquerades as Rollup Polyfills — 確認惡意 NPM package 名單、payload 流程同 IOCs。
- OpenSSH Release Notes 10.4/10.4p1 — 確認 2026-07-06 發布、security fixes、不相容變更同 PQ 簽名狀態。
- Godot Engine:Changes to our Contribution Policies — 確認 Godot 對 AI agent/vibe coding PR 嘅官方規矩。
- zer0dac:ChatGPT Guardrail Bypass to LFI Vulnerability POC — 研究者原文,確認 ChatGPT 下載 URL / path traversal PoC 同已修補說法。
- Model Context Protocol Blog:2026-07-28 Release Candidate — 確認 MCP stateless core、Tasks、Apps、授權同 7 月 28 日規格時程。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







