2026年3月30日-2026年4月5日网络产品安全漏洞报告
漏洞安全告警
1、Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,通过网络执行任意代码等。
CNVD收录的相关漏洞包括:Microsoft Bing Images命令注入漏洞、Microsoft M365 Copilot命令注入漏洞、Microsoft Windows SMB Server授权问题漏洞、Microsoft Bing操作系统命令注入漏洞、Microsoft Projected File System访问控制错误漏洞、Microsoft Broadcast DVR资源管理错误漏洞、Microsoft .NET拒绝服务漏洞、Microsoft Office资源管理错误漏洞(CNVD-2026-15420)。其中,除“Microsoft M365 Copilot命令注入漏洞、Microsoft Broadcast DVR资源管理错误漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15412
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15415
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15414
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15413
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15419
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15417
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15421
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15420
2、IBM产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞解密高度敏感信息,通过注入精心设计的有效载荷执行任意Web脚本或HTML。
CNVD收录的相关漏洞包括:IBM Sterling Partner Engagement Manager跨站脚本漏洞、IBM InfoSphere Data Architect跨站脚本漏洞、IBM Aspera Orchestrator跨站脚本漏洞(CNVD-2026-15592)、IBM Aspera Faspex跨站脚本漏洞(CNVD-2026-15591)、IBM Aspera faspio Gateway加密问题漏洞、IBM Aspera Faspex权限提升漏洞、IBM MQ Appliance加密问题漏洞、IBM InfoSphere Information Server存在XML外部实体注入漏洞。其中,“IBM Aspera faspio Gateway加密问题漏洞、IBM InfoSphere Information Server存在XML外部实体注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15590
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15593
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15592
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15591
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15595
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15602
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15601
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15600
3、Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制HTML页面绕过导航限制,通过特制Chrome Extension进行UI欺骗等。
CNVD收录的相关漏洞包括:Google Chrome安全绕过漏洞(CNVD-2026-15396、CNVD-2026-15397、CNVD-2026-15398、CNVD-2026-15399、CNVD-2026-15409、CNVD-2026-15408、CNVD-2026-15410)、Google Chrome越界读取漏洞(CNVD-2026-15402)。其中,“Google Chrome安全绕过漏洞(CNVD-2026-15396、CNVD-2026-15397)、Google Chrome越界读取漏洞(CNVD-2026-15402)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15396
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15397
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15398
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15399
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15402
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15409
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15408
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15410
4、Mozilla产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,执行任意代码或导致拒绝服务。
CNVD收录的相关漏洞包括:多款Mozilla产品安全绕过漏洞(CNVD-2026-15383、CNVD-2026-15385、CNVD-2026-15387、CNVD-2026-15389)、多款Mozilla产品代码执行漏洞(CNVD-2026-15386、CNVD-2026-15388)、Mozilla Firefox和Mozilla Thunderbird代码执行漏洞、多款Mozilla产品整数溢出漏洞(CNVD-2026-15384)。其中,除“Mozilla Firefox和Mozilla Thunderbird代码执行漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15383
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15384
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15385
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15386
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15387
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15388
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15389
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15390
5、TOTOLINK WA300操作系统命令注入漏洞
本周,TOTOLINK WA300被披露存在命令注入漏洞,该漏洞源于文件/cgi-bin/cstecgi.cgi中参数Ipaddr未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞导致任意命令执行。CNVD提醒广大用户随时关注厂商主页,以获取最新版本
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15249
漏洞攻击验证情况
1、Patient Record Management System SQL注入漏洞
验证描述
Patient Record Management System存在SQL注入漏洞,该漏洞源于程序未能正确过滤和处理用户输入。攻击者可利用该漏洞执行任意SQL命令,获取敏感数据或破坏数据库完整性。
验证信息
POC链接:
https://github.com/plj-sudo/cve/blob/main/README.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-15866
(来源:"网信温州"微信公众号)
(链接:https://mp.weixin.qq.com/s/SOzRD94GX2zf_z0m4RId8A)