漏洞安全告警
1.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码或导致应用程序崩溃。
CNVD收录的相关漏洞包括:Adobe After Effects类型混淆漏洞、Adobe After Effects输入验证错误漏洞(CNVD-2026-12866)、Adobe After Effects资源管理错误漏洞(CNVD-2026-12867、CNVD-2026-12868、CNVD-2026-12869)、Adobe After Effects缓冲区溢出漏洞(CNVD-2026-12870)、Adobe DNG SDK缓冲区溢出漏洞、Adobe Substance3D Designer代码问题漏洞。其中,除“Adobe Substance3D Designer代码问题漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12865
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12866
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12867
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12868
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12869
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12870
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12871
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12874
2.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过数据访问控制,查看、添加、修改或删除数据库上的任意文件,导致在服务器端执行任意代码等。
CNVD收录的相关漏洞包括:Apache Druid认证绕过漏洞、Apache Fineract SQL注入漏洞、Apache Ignite反序列化漏洞、Apache Traffic Server(ATS)环境问题漏洞、Apache Superset SQL注入漏洞、Apache Superset安全绕过漏洞、Apache Superset信息泄露漏洞、Apache Superset安全绕过漏洞(CNVD-2026-13252)。其中,“Apache Druid认证绕过漏洞、Apache Fineract SQL注入漏洞、Apache Ignite反序列化漏洞、Apache Traffic Server(ATS)环境问题漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12894
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12899
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12898
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12897
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13249
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13250
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13251
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13252
3.Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,上传恶意文件,执行任意代码等。
CNVD收录的相关漏洞包括:Microsoft Payment Orchestrator Service访问控制错误漏洞、Microsoft Devices Pricing Program代码问题漏洞、Microsoft Azure Functions信息泄露漏洞、Microsoft Azure Front Door访问控制错误漏洞、Microsoft Windows Admin Center授权问题漏洞、Microsoft Teams访问控制错误漏洞、Microsoft Semantic Kernel代码注入漏洞、Microsoft Azure Arc访问控制错误漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12903
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12902
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12907
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12906
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12911
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12910
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12909
https://www.cnvd.org.cn/flaw/show/CNVD-2026-12908
4.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上获得更高的权限,导致拒绝服务。
CNVD收录的相关漏洞包括:Google Android信息泄露漏洞(CNVD-2026-13142)、Google Android权限提升漏洞(CNVD-2026-13144、CNVD-2026-13145、CNVD-2026-13146、CNVD-2026-13148、CNVD-2026-13149)、Google Android拒绝服务漏洞(CNVD-2026-13147、CNVD-2026-13150)。其中,除“Google Android信息泄露漏洞(CNVD-2026-13142)、Google Android权限提升漏洞(CNVD-2026-13144)、Google Android拒绝服务漏洞(CNVD-2026-13147)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13142
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13144
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13145
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13146
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13147
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13148
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13149
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13150
5.D-Link DIR-513堆栈缓冲区溢出漏洞
本周,D-Link DIR-513被披露存在堆栈缓冲区溢出漏洞,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。
目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13153
本周重要漏洞攻击验证情况
1.TOTOLINK A950RG缓冲区溢出漏洞
验证描述
TOTOLINK A950RG是中国吉翁电子(TOTOLINK)公司的一款超世代Giga无线路由器。
TOTOLINK A950RG存在缓冲区溢出漏洞,该漏洞源于setParentalRules接口对urlKeyword参数验证不足且未执行边界检查,攻击者可利用该漏洞导致拒绝服务或执行任意代码。
验证信息
POC链接:
https://github.com/SunnyYANGyaya/cuicuishark-sheep-fishIOT/blob/main/ToTolink/A950RG/5024-setParentRules-urlKeyWord-buffer.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-13227
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/Q_Lmt8vxeeclf_4JU9db5Q)