2026年2月2日-2026年2月8日网络产品安全漏洞报告
漏洞安全告警
1.Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致本地信息泄露,导致本地权限提升,导致远程代码执行等。
CNVD收录的相关漏洞包括:Google Pixel cn_NrmmDecoder.cpp文件缓冲区溢出漏洞、Google Pixel gxp_buffer.h文件缓冲区溢出漏洞、Google Pixel ss_LcsManagement.c文件缓冲区溢出漏洞、Google Pixel代码执行漏洞(CNVD-2026-10321)、Google Pixel gxp_fence_manager.cc文件输入验证错误漏洞、Google Pixel aoc_ipc_core.c文件输入验证错误漏洞、Google Pixel protocolpsadapter.cpp文件缓冲区溢出漏洞、Google Chrome代码问题漏洞(CNVD-2026-10405)。其中,除“Google Pixel gxp_buffer.h文件缓冲区溢出漏洞、Google Pixel gxp_fence_manager.cc文件输入验证错误漏洞、Google Pixel aoc_ipc_core.c文件输入验证错误漏洞、Google Pixel protocolpsadapter.cpp文件缓冲区溢出漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10324
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10323
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10322
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10321
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10328
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10327
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10325
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10405
2.Apache产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞构造恶意XML文件,读取服务器本地文件内容,远程发送特制的恶意代码,引发客户端崩溃、数据损坏或执行任意代码。
CNVD收录的相关漏洞包括:Apache Linkis授权问题漏洞、Apache Hadoop HDFS越界写入漏洞、Apache SIS XML外部实体注入漏洞、Apache Uniffle信任管理问题漏洞、Apache NimBLE代码问题漏洞、Apache bRPC远程命令注入漏洞、Apache Solr输入验证错误漏洞、Apache NiFi代码问题漏洞(CNVD-2026-09798)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09791
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09789
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09797
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09796
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09795
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09794
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09793
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09798
3.Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致任意代码执行。
CNVD收录的相关漏洞包括:Adobe Substance 3D Sampler缓冲区溢出漏洞、Adobe Substance 3D Painter缓冲区溢出漏洞(CNVD-2026-09800)、Adobe InCopy缓冲区溢出漏洞(CNVD-2026-09799)、Adobe Dreamweaver命令注入漏洞、Adobe Experience Manager跨站脚本漏洞(CNVD-2026-09808、CNVD-2026-09807、CNVD-2026-09806、CNVD-2026-09805)。其中,“Adobe Substance 3D Sampler缓冲区溢出漏洞、Adobe Substance 3D Painter缓冲区溢出漏洞(CNVD-2026-09800)、Adobe InCopy缓冲区溢出漏洞(CNVD-2026-09799)、Adobe Dreamweaver命令注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09801
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09800
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09799
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09802
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09808
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09807
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09806
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09805
4.Juniper Networks产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞使用目标权限(包括管理员)执行命令。
CNVD收录的相关漏洞包括:Juniper Networks Junos Space跨站脚本漏洞(CNVD-2026-09453、CNVD-2026-09454、CNVD-2026-09455、CNVD-2026-09456、CNVD-2026-09457、CNVD-2026-09458、CNVD-2026-09459、CNVD-2026-09460)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09453
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09454
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09455
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09456
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09457
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09458
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09459
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09460
5.TOTOLINK X6000R命令注入漏洞(CNVD-2026-10356)
本周,TOTOLINK X6000R被披露存在命令注入漏洞,攻击者可利用该漏洞导致任意命令执行。
目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-10356
本周重要漏洞攻击验证情况
1.Travel Management System SQL注入漏洞
验证描述
Travel Management System是一个差旅管理系统。
Travel Management System存在SQL注入漏洞,该漏洞源于文件/viewcategory.php中参数t1缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
验证信息
POC链接:
https://github.com/JunGu-W/cve/issues/11
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-09809
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/bZLFaBVJxGzbUj4gOKPCgw)