漏洞安全告警
1.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致本地权限提升,执行任意代码等。
CNVD收录的相关漏洞包括:Google Chrome资源管理错误漏洞(CNVD-2026-02686)、Google Chrome V8越界读写漏洞、Google Pixel gxp_buffer.h文件缓冲区溢出漏洞、Google Pixel libaoc_waves.c文件缓冲区溢出漏洞、Google Pixel gxp_buffer.h文件缓冲区溢出漏洞、Google Pixel权限提升漏洞(CNVD-2026-02694、CNVD-2026-02693、CNVD-2026-02695)。其中,“Google Chrome资源管理错误漏洞(CNVD-2026-02686)、Google Chrome V8越界读写漏洞、Google Pixel权限提升漏洞(CNVD-2026-02694、CNVD-2026-02693)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02686
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02685
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02691
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02690
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02689
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02694
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02693
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02695
2.TOTOLINK产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务等。
CNVD收录的相关漏洞包括:TOTOLINK CP450 SetPortForwardRules方法堆栈缓冲区溢出漏洞、TOTOLINK CP450 setStaticDhcpConfig方法堆栈缓冲区溢出漏洞、TOTOLINK CPE CP450 setUpgradeFW方法命令注入漏洞、TOTOLINK CP450 setUrlFilterRules方法堆栈缓冲区溢出漏洞、TOTOLINK CPE CP450 setWebWlanIdx方法命令注入漏洞、TOTOLINK CP450硬编码密码漏洞、TOTOLINK N200RE setIpPortFilterRules函数堆栈缓冲区溢出漏洞、TOTOLINK N200RE setLanguageCfg函数堆栈缓冲区溢出漏洞。其中,除“TOTOLINK CPE CP450 setWebWlanIdx方法命令注入漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00113
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00114
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00115
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00116
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00117
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00118
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00119
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00120
3.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行恶意JavaScript。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2026-00129、CNVD-2026-00133、CNVD-2026-00132、CNVD-2026-00678、CNVD-2026-00679、CNVD-2026-00680、CNVD-2026-00681、CNVD-2026-00682)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00129
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00133
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00132
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00678
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00679
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00680
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00681
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00682
4.Huawei产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响服务机密性和可用性。
CNVD收录的相关漏洞包括:Huawei HarmonyOS/EMUI权限控制漏洞(CNVD-2026-00136、CNVD-2026-00137、CNVD-2026-00138、CNVD-2026-00144)、Huawei HarmonyOS/EMUI权限校验漏洞(CNVD-2026-00159、CNVD-2026-00145)、Huawei HarmonyOS/EMUI释放后重用漏洞、Huawei HarmonyOS竞争条件漏洞(CNVD-2026-00632)。其中,“Huawei HarmonyOS/EMUI权限控制漏洞(CNVD-2026-00144)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00136
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00137
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00138
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00140
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00144
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00145
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00159
https://www.cnvd.org.cn/flaw/show/CNVD-2026-00632
5.Tenda AC18 goform/SetDlnaCfg文件缓冲区溢出漏洞
本周,Tenda AC18被披露存在缓冲区溢出漏洞,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。
目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02661
本周重要漏洞攻击验证情况
1.Orangescrum SQL注入漏洞
验证描述
Orangescrum是一个项目和任务管理的软件工具,也为工作组织和团队协作提供了生产力工具。
Orangescrum存在SQL注入漏洞,该漏洞源于对old_project_id、project_id、uuid和uniqid等参数输入验证不足,攻击者可利用该漏洞提取或修改数据库信息。
验证信息
POC链接:
https://www.exploit-db.com/exploits/50553
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-02778
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/hqIJKD0sWZRvsAsjLG9mDw)