漏洞安全告警
1、Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过某些功能,提升权限,执行代码等。
CNVD收录的相关漏洞包括:Microsoft Excel资源管理错误漏洞(CNVD-2026-19776)、Microsoft Azure IoT Explorer信息泄漏漏洞、Microsoft Azure MCP Server Tools权限提升漏洞、Microsoft Graphics Component代码执行漏洞(CNVD-2026-19777)、Microsoft Azure IoT Explorer信息泄漏漏洞(CNVD-2026-19782、CNVD-2026-19781)、Microsoft Azure Compute Gallery命令注入漏洞、Microsoft Windows Shell安全功能绕过漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19776
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19780
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19779
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19777
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19782
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19781
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19783
https://www.cnvd.org.cn/flaw/show/CNVD-2026-20179
2、Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制HTML页面执行越界内存读取,诱使用户访问特制的HTML页面,并结合已攻陷的渲染器进程,潜在地实现沙箱逃逸,诱骗用户安装恶意扩展程序,并构造特定的Chrome扩展来触发堆损坏,从而执行任意代码或导致程序崩溃等。
CNVD收录的相关漏洞包括:Google Chrome缓冲区溢出漏洞(CNVD-2026-19769,CNVD-2026-19768,CNVD-2026-19766,CNVD-2026-19772,CNVD-2026-19771,CNVD-2026-19770,CNVD-2026-19774)、Google Chrome输入验证错误漏洞(CNVD-2026-19767)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19769
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19768
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19767
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19766
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19772
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19771
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19770
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19774
3、Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致在当前用户环境中执行任意代码。
CNVD收录的相关漏洞包括:Adobe Framemaker数字错误漏洞(CNVD-2026-19994、CNVD-2026-19995)、Adobe Framemaker类型混淆漏洞、Adobe Framemaker越界写入漏洞(CNVD-2026-19996)、Adobe Framemaker堆缓冲区溢出漏洞(CNVD-2026-19998)、Adobe Framemaker越界读取漏洞(CNVD-2026-19997)、Adobe Framemaker内存错误引用漏洞(CNVD-2026-19999)、Adobe Photoshop Desktop越界读取漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19994
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19993
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19995
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19996
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19998
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19997
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19999
https://www.cnvd.org.cn/flaw/show/CNVD-2026-20001
4、Mozilla产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致浏览器崩溃,在系统上执行任意代码。
CNVD收录的相关漏洞包括:多款Mozilla产品代码问题漏洞(CNVD-2026-19982、CNVD-2026-19984、CNVD-2026-19986、CNVD-2026-19987)、多款Mozilla产品代码执行漏洞(CNVD-2026-19988、CNVD-2026-19989、CNVD-2026-19983、CNVD-2026-19985)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19982
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19983
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19984
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19985
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19986
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19987
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19988
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19989
5、Tenda F456 fromNatStaticSetting参数栈缓冲区溢出漏洞
本周,Tenda F456被披露存在栈缓冲区溢出漏洞,该漏洞源于/goform/NatStaticSetting中的fromNatStaticSetting函数未能正确处理page参数,攻击者可利用该漏洞通过远程发送恶意数据触发栈溢出。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19971
漏洞攻击验证情况
1、XATABoost CMS SQL注入漏洞
验证描述
XATABoost CMS 1.0.0版本存在SQL注入漏洞。该漏洞源于应用缺少对外部输入SQL语句的验证,攻击者可利用该漏洞通过id参数注入SQL代码操纵数据库查询,向news.php发送带有恶意id值的GET请求以提取敏感数据库信息。
验证信息
POC链接:
https://www.exploit-db.com/exploits/44622
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-19969
(来源:“网信温州”微信公众号)
(链接: https://mp.weixin.qq.com/s/hwMk8rS0ILYkdp_iqvBVCw)