關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.01.22
漏洞與風險/資安漏洞
Zoom 和 GitLab 發布安全性更新,修復RCE、DDoS攻擊和MFA繞過漏洞
資安預警:全球協作平台安全機制失守之探討

隨著企業數位轉型步伐加快,通訊協作工具如 Zoom 與程式開發平台 GitLab 已成為台灣企業日常營運的核心。然而,近期發布的安全性更新揭示了軟體架構中潛藏的致命威脅。本次研究聚焦於遠端程式碼執行(RCE)與身分驗證繞過等高嚴重性缺陷,探討其對企業內部網路與軟體供應鏈的具體影響。


全球視訊協作巨頭 Zoom 之關鍵命令注入缺陷分析

Zoom 和 GitLab 發布了安全性更新,以解決可能導致拒絕服務 (DoS) 和遠端程式碼執行的多個安全漏洞。其中最嚴重的漏洞是影響 Zoom 節點多媒體路由器 (MMR) 的關鍵安全漏洞,該漏洞可能允許會議參與者執行遠端程式碼攻擊。此漏洞編號為CVE-2026-22844,由 Zoom 內部安全團隊發現,其 CVSS 評分為 9.9 分(滿分為 10 分)。

這項高達 9.9 分的威脅標誌著系統防禦體系的全面崩潰。命令注入漏洞的存在,意指攻擊者無需獲取最高管理權限,僅需作為一般會議參與者,即可透過精心建構的網路封包穿透 MMR 的過濾機制。MMR 作為處理串流數據的核心節點,一旦被攻破,攻擊者將獲得在伺服器上執行任意系統指令的能力,這不僅威脅到會議內容的隱私,更可能成為滲透企業內部橫向移動的跳板。


受影響之 Zoom 部署環境與技術指標

Zoom在周二發布的警報中指出:Zoom Node 多媒體路由器 (MMR) 5.2.1716.0 版本之前的版本中存在命令注入漏洞,可能允許會議參與者透過網路存取對 MMR 進行遠端程式碼執行。

Zoom 建議使用 Zoom Node Meetings、Hybrid 或 Meeting Connector 部署的客戶更新到最新的 MMR 版本,以防範任何潛在威脅。目前尚無證據顯示該安全漏洞已實際利用。該漏洞影響以下版本:

  1. Zoom Node Meetings Hybrid (ZMH)MMR 模組版本 5.2.1716.0 之前的版本
  2. Zoom Node Meeting Connector (MC) MMR 模組版本 5.2.1716.0 之前的版本

GitLab 軟體開發生命週期中的信任邊界威脅

GitLab發布嚴重缺陷補丁#
此次揭露正值 GitLab發布針對其社群版 (CE) 和企業版 (EE) 中多個高風險漏洞的修復程序之際。這些漏洞可能導致拒絕服務攻擊 (DoS) 和繞過雙重認證 (2FA) 保護。

作為軟體開發生命週期(SDLC)的核心節點,GitLab 的安全性直接關係到企業智慧財產權的完整性。本次揭露的漏洞顯示,即便在具備 2FA 保護的環境下,攻擊者仍有機會透過邏輯缺陷獲取存取權限。此外,未經身份驗證的 DoS 攻擊漏洞,則可能導致開發流程完全停擺,對採取持續整合與持續部署(CI/CD)的敏捷團隊造成巨大的營運損失。


GitLab 高嚴重性漏洞列表與影響範圍

GitLab 此次修補的漏洞涵蓋了從資源耗盡到授權失敗等多個層面,詳細清單如下:

  1. CVE-2025-13927(CVSS 評分:7.5)- 此漏洞可能允許未經身份驗證的使用者透過發送包含格式錯誤的驗證資料的精心建構的請求來建立拒絕服務 (DoS) 攻擊(影響 18.6.4 之前的 11.9 版本、18.7.2 攻擊(影響 18.6.4 之前的 11.9 版本、18.7.2 之前的 18.7 版本以及 28.7 版本之前的 18.7 版本。
  2. CVE-2025-13928(CVSS 評分:7.5)- Releases API 中存在授權錯誤漏洞,可能允許未經身份驗證的用戶造成拒絕服務 (DoS) 攻擊(影響 18.6.4 之前的 17.7 版本、18.7.2 之前的 18.7 版本以及 18.8.8.8 版本)。
  3. CVE-2026-0723(CVSS 評分:7.4)- 此漏洞可能允許已知受害者憑證 ID 的人員透過提交偽造的設備回應來繞過雙重認證(影響 18.6.4 之前的 18.6 版本、18.7.2 之前的 18.7 版本以及 18.82 之前的 18.2 版本)。

拒絕服務攻擊之多樣化觸發機制

除了上述高危漏洞,GitLab 也修復了另外兩個中等嚴重程度的漏洞,這兩個漏洞也可能觸發 DoS 攻擊(CVE-2025-13335,CVSS 評分:6.5;CVE-2026-1102,CVSS 評分:5.3),它們分別透過配置循環檢測的格式錯誤的 Wiki Do文檔和發送重複的身份驗證要求。

這些中等嚴重程度的漏洞揭示了資安防禦中的微小細節——例如 Wiki 文檔解析與重複驗證請求處理——若處理不當,同樣會被利用為消耗伺服器資源的手段。這對於需要高度穩定性的軟體庫與文件系統而言,是不可忽視的營運風險。


企業層級應用軟體安全防護建議

面對 Zoom 的 RCE 威脅與 GitLab 的身分驗證繞過,台灣企業的資安部門應立即採取以下行動。首先,應盤點組織內所有自建(On-premise)的 Zoom Node 部署與 GitLab 執行實例,確保其版本高於公告之受影響區間。

其次,針對 Zoom MMR 漏洞,雖然目前尚無實際攻擊案例,但由於其 CVSS 分值極高且涉及命令注入,企業應優先在隔離環境(DMZ)中進行測試後立即升級。對於 GitLab 的 2FA 繞過風險,除了更新補丁外,建議強化日誌監控,偵測是否存在異常的設備回應提交行為,並審視 Releases API 的存取日誌,防範未經授權的流量灌頂。


結論與未來展望

本次 Zoom 與 GitLab 的漏洞事件再次提醒我們,沒有任何一套軟體是絕對安全的。在高可用性與功能性的追求下,底層代碼的複雜度往往成為資安隱憂的溫床。企業應建立自動化的漏洞掃描機制與應急修補流程(Emergency Patching),將安全防護提升至策略層級。透過持續的資安情資監控與即時的版本管理,才能在漏洞轉化為實質攻擊前,為企業數位資產築起堅實的防護牆。


資料來源:https://thehackernews.com/2026/01/zoom-and-gitlab-release-security.html
 
解析 Zoom MMR 關鍵漏洞 (CVSS 9.9) 及 GitLab 多項高風險漏洞,針對遠端程式碼執行 (RCE) 與雙重認證 (2FA) 繞過提供技術分析與應對策略,協助台灣企業強化應用軟體之供應鏈安全防護。