2026年1月19日-2026年1月25日网络产品安全漏洞报告

漏洞安全告警

1.IBM产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取系统配置参数等敏感信息，影响系统机密性，注入精心设计的有效载荷执行任意Web脚本或HTML，导致本地用户执行恶意代码并提升权限至root。

CNVD收录的相关漏洞包括：IBM Planning Analytics Local信息泄露漏洞（CNVD-2026-06423）、IBM OpenPages跨站脚本漏洞、IBM Cognos Analytics信息泄露漏洞、IBM Db2拒绝服务漏洞、IBM Db2权限提升漏洞（CNVD-2026-06424）、IBM InfoSphere Information Server权限提升漏洞（CNVD-2026-06429）、IBM InfoSphere Information Server代码问题漏洞、IBM Cloud Pak for Business Automation跨站脚本漏洞（CNVD-2026-06427）。其中，“IBM InfoSphere Information Server代码问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06423

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06422

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06426

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06425

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06424

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06429

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06428

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06427

2.Google产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致远程信息泄露，远程执行任意代码，导致本地权限提升等。

CNVD收录的相关漏洞包括：Google Android堆缓冲区溢出漏洞、Google Android竞争条件漏洞、Google Android越界写入漏洞（CNVD-2026-04858、CNVD-2026-04860）、Google Android释放后重用漏洞（CNVD-2026-04863）、Google Chrome竞争条件漏洞、Google Chrome错误类型转换漏洞、Google Chrome释放后重用漏洞。其中，除“Google Android竞争条件漏洞、Google Android越界写入漏洞（CNVD-2026-04858、CNVD-2026-04860）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04857

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04859

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04858

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04860

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04863

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04889

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04888

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04890

3.Adobe产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读任意文件，导致恶意JavaScript执行，绕过安全措施和拒绝服务等。

CNVD收录的相关漏洞包括：Adobe ColdFusion凭据保护不足漏洞、Adobe Experience Manager跨站脚本漏洞（CNVD-2026-0493967、CNVD-2026-04938、CNVD-2026-04940）、Adobe ColdFusion访问控制不当漏洞、Adobe ColdFusion输入验证不当漏洞（CNVD-2026-0494539、CNVD-2026-04942）、Adobe ColdFusion XML外部实体引用限制不当漏洞（CNVD-2026-0494441）。其中，“Adobe Experience Manager跨站脚本漏洞（CNVD-2026-0493967、CNVD-2026-04940）、Adobe ColdFusion输入验证不当漏洞（CNVD-2026-0494539）、Adobe ColdFusion XML外部实体引用限制不当漏洞（CNVD-2026-0494441）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04936

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04939

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04938

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04937

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04940

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04942

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04945

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04944

4.Tenda产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。

CNVD收录的相关漏洞包括：Tenda AC15 fromWizardHandle方法堆栈缓冲区溢出漏洞、Tenda AC15 saveParentControlInfo方法堆栈缓冲区溢出漏洞、Tenda AC10U formSetQosBand函数堆栈缓冲区溢出漏洞、Tenda AC10U formSetFirewallCfg函数堆栈缓冲区溢出漏洞、Tenda O3 fromDhcpSetSer函数堆栈缓冲区溢出漏洞、Tenda AC7堆栈缓冲区溢出漏洞、Tenda AC7 timeZone参数栈缓冲区溢出漏洞、Tenda AX1806 fromAdvSetMacMtuWan函数堆栈缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04891

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04895

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04898

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04897

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04911

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04912

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04961

https://www.cnvd.org.cn/flaw/show/ CNVD-2026-06103

5.Tenda AX1806 sub_65A28函数栈缓冲区溢出漏洞

本周，Tenda AX1806被披露存在栈缓冲区溢出漏洞，该漏洞源于sub_65A28函数的serviceName参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞导致拒绝服务。

目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06084

本周重要漏洞攻击验证情况

1.Land Record System /aboutus.php文件SQL注入漏洞

验证描述

Land Record System是一个土地管理系统。

Land Record System存在SQL注入漏洞，该漏洞源于文件/admin/aboutus.php中参数pagetitle缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

验证信息

POC链接：

https://github.com/Iandweb/CVE/issues/10

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04916

(来源：“网信温州”微信公众号）

(链接：https://mp.weixin.qq.com/s/dSePsmha3VtxUfxEp4qGyA）