漏洞安全告警
1.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,提升权限或导致系统崩溃等。
CNVD收录的相关漏洞包括:Microsoft Excel缓冲区溢出漏洞(CNVD-2026-12552、CNVD-2026-12553)、Microsoft Windows资源管理错误漏洞(CNVD-2026-12560)、Microsoft Windows Notepad命令注入漏洞、Microsoft Windows Kernel竞争条件漏洞、Microsoft Defender for Linux代码执行漏洞、Microsoft Hyper-V缓冲区溢出漏洞、Microsoft Hyper-V访问控制错误漏洞。其中,“Microsoft Windows Notepad命令注入漏洞、Microsoft Defender for Linux代码执行漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12552
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12556
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12555
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12553
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12560
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12559
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12558
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12561
2.NVIDIA产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致代码执行、权限提升、数据篡改和拒绝服务等。
CNVD收录的相关漏洞包括:NVIDIA CUDA toolkit gfx_hotspot模块命令注入漏洞、NVIDIA Nemo Framework代码问题漏洞(CNVD-2026-12372、CNVD-2026-12371)、NVIDIA Isaac Launchable信任管理问题漏洞、NVIDIA Isaac Launchable任意代码执行漏洞、NVIDIA NSIGHT Graphics操作系统命令注入漏洞、NVIDIA NVTabular反序列化漏洞、NVIDIA Merlin Transformers4Rec反序列化漏洞。其中,除“NVIDIA CUDA toolkit gfx_hotspot模块命令注入漏洞、NVIDIA Nemo Framework代码问题漏洞(CNVD-2026-12372)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12365
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12372
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12371
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12370
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12369
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12368
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12374
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12373
3.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行代码。
CNVD收录的相关漏洞包括:Adobe After Effects存在越界读取漏洞(CNVD-2026-12689、CNVD-2026-12690)、Adobe After Effects存在越界写入漏洞(CNVD-2026-12691、CNVD-2026-12693)、Adobe Substance 3D Stager存在越界读取漏洞(CNVD-2026-12699、CNVD-2026-12700)、Adobe Substance 3D Stager存在越界写入漏洞(CNVD-2026-12697、CNVD-2026-12698)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12690
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12689
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12693
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12691
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12700
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12699
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12698
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12697
4.Cisco产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过Web身份验证,获得设备的管理访问权限,上传并执行任意文件,从而执行任意命令并提升权限至root等。
CNVD收录的相关漏洞包括:Cisco Meeting Management(CMM)代码问题漏洞、Cisco Catalyst Center操作系统命令注入漏洞、Cisco Catalyst Center跨站脚本漏洞、Cisco Unified Contact Center Express代码问题漏洞(CNVD-2026-12681、CNVD-2026-12679、CNVD-2026-12678)、Cisco Unified Contact Center Express路径遍历漏洞、Cisco NX-OS Software操作系统命令注入漏洞。其中,除“Cisco Catalyst Center跨站脚本漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12673
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12677
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12676
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12681
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12680
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12679
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12678
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12684
5.D-Link DWR-M960 formDdns文件缓冲区溢出漏洞
本周,D-Link DWR-M960被披露存在缓冲区溢出漏洞,该漏洞源于DDNS Settings Handler组件中文件/boafrm/formDdns的函数sub_4648F0对参数submit-url的错误操作,攻击者可利用该漏洞在系统上执行任意代码,或导致应用程序崩溃。
目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12767
本周重要漏洞攻击验证情况
1.Travel Management System /updatecategory.php文件SQL注入漏洞
验证描述
Travel Management System是一个差旅管理系统。
Travel Management System存在SQL注入漏洞,该漏洞源于文件/updatecategory.php中参数t1缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/guoma-book/CVE/issues/7
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12375
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/HhqTWPU64zJiwdYFkqLhZQ)