2026年06月08日-2026年06月14日网络产品安全漏洞报告

漏洞安全告警

1、Google产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，获取敏感信息，通过精心设计的HTML页面，在已破坏渲染器进程的情况下实现沙箱逃逸，通过精心构造的HTML页面触发堆破坏等。

CNVD收录的相关漏洞包括：Google Chrome资源管理错误漏洞(CNVD-2026-23388、CNVD-2026-23390)、Google Chrome输入验证错误漏洞(CNVD-2026-23389)、Google Chrome缓冲区溢出漏洞(CNVD-2026-23391)、Google Chrome WebXR内存错误引用漏洞(CNVD-2026-23392)、Google Chrome ANGLE内存错误引用漏洞(CNVD-2026-23395)、Google Chrome Bluetooth模块内存错误引用漏洞、Google Chrome ANGLE组件越界写入漏洞(CNVD-2026-23393)。除“Google Chrome输入验证错误漏洞(CNVD-2026-23389)、Google Chrome缓冲区溢出漏洞(CNVD-2026-23391)”外，上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23388

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23389

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23391

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23390

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23392

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23395

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23394

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23393

2、IBM产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞结合合适的gadget链通过精心构造的HTTP请求实现远程代码执行，伪造身份进行未授权操作,绕过安全认证获取未授权访问，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM WebSphere Application Server代码问题漏洞(CNVD-2026-23396)、IBM WebSphere Application Server身份欺骗漏洞、IBM WebSphere Application Server安全控制绕过漏洞、IBM Langflow OSS文件处理组件路径遍历漏洞、IBM Aspera HSTS for CP4I认证绕过漏洞、IBM Db2拒绝服务漏洞(CNVD-2026-23403)、IBM Db2 range partitioned tables拒绝服务漏洞(CNVD-2026-23402)、IBM OPENBMC拒绝服务漏洞。除“IBM Db2拒绝服务漏洞(CNVD-2026-23403)、IBM Db2 range partitioned tables拒绝服务漏洞(CNVD-2026-23402)、IBM OPENBMC拒绝服务漏洞”外，上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23396

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23398

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23397

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23400

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23399

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23403

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23402

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23401

3、Siemens产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞注入任意命令，以root权限执行远程代码，访问设备上的任意文件，注入恶意代码，绕过身份验证并冒充合法用户等。

CNVD收录的相关漏洞包括：Siemens RUGGEDCOM操作系统命令注入漏洞、Siemens ROS#路径遍历漏洞、Siemens SIMATIC HMI Comfort Panels存在未明漏洞、Siemens Teamcenter跨站脚本漏洞、Siemens Teamcenter信任管理问题漏洞、Siemens Solid Edge缓冲区溢出漏洞(CNVD-2026-23467)、Siemens Solid Edge堆栈缓冲区溢出漏洞(CNVD-2026-23468)、Siemens Industrial Edge Devices授权绕过漏洞。除“Siemens SIMATIC HMI Comfort Panels存在未明漏洞、Siemens Teamcenter跨站脚本漏洞”外，上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23335

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23463

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23464

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23465

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23466

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23467

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23468

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23470

4、Mozilla产品安全漏洞

本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或造成拒绝服务，获取敏感信息，绕过安全限制等。

CNVD收录的相关漏洞包括：Mozilla Firefox代码执行漏洞(CNVD-2026-23637)、Mozilla Firefox内存错误引用漏洞(CNVD-2026-23638)、Mozilla Firefox存在未明漏洞(CNVD-2026-23639、CNVD-2026-23640)、Mozilla Firefox和Mozilla Thunderbird信息泄露漏洞(CNVD-2026-23770)、Mozilla Firefox和Mozilla Thunderbird拒绝服务漏洞(CNVD-2026-23771)、Mozilla Firefox和Mozilla Thunderbird存在未明漏洞(CNVD-2026-23772)、Mozilla Firefox和Mozilla Thunderbird代码执行漏洞(CNVD-2026-23773)。除“Mozilla Firefox存在未明漏洞(CNVD-2026-23639)、Mozilla Firefox和Mozilla Thunderbird信息泄露漏洞(CNVD-2026-23770)”外，上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23637

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23638

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23639

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23640

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23770

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23771

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23772

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23773

5、bloofoxCMS跨站请求伪造漏洞

本周，bloofoxCMS 0.5.2.1版本被披露存在跨站请求伪造漏洞。该漏洞源于WEB应用未充分验证请求是否来自可信用户，攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23410

漏洞攻击验证情况

1、Kuicms Php EE跨站脚本漏洞

验证描述

Kuicms Php EE 2.0版本存在跨站脚本漏洞。该漏洞源于对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过bbs回复端点提交特制内容注入恶意脚本。

验证信息

POC链接：

https://www.exploit-db.com/exploits/48526

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-23406

(来源：“网信温州”微信公众号)

(链接：https://mp.weixin.qq.com/s/tkTDCAvmJ8MFSfDi2Aw93w)