漏洞安全告警
1、Microsoft产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过欺骗手段绕过认证,从而在网络上提升权限,在task_name中提供路径遍历序列,导致UFO在预期的logs/目录之外创建日志目录和日志文件,执行任意代码等。
CNVD收录的相关漏洞包括:Microsoft Azure HorizonDB身份验证绕过漏洞、Microsoft Windows DNS权限提升漏洞(CNVD-2026-24189)、Microsoft 365 Copilot命令注入漏洞、Microsoft UFO task_name参数路径遍历漏洞、Microsoft Office SharePoint操作系统命令注入漏洞、Microsoft Edge Copilot Chat注入漏洞、Microsoft Azure Orbital Spatio文件上传漏洞、Microsoft 365 Copilot命令注入漏洞。除“Microsoft Windows DNS权限提升漏洞(CNVD-2026-24189)”外,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24190
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24189
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24195
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24194
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24193
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24191
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24197
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24196
2、Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致本地权限提升,通过特制HTML页面从进程内存获取敏感信息,在系统上执行任意代码,通过特制HTML页面泄露跨域数据等。
CNVD收录的相关漏洞包括:Google Android存在未明漏洞(CNVD-2026-24162)、Google Chrome安全绕过漏洞(CNVD-2026-24163)、Google Chrome代码执行漏洞(CNVD-2026-24164、CNVD-2026-24165、CNVD-2026-24168)、Google Chrome整数溢出漏洞(CNVD-2026-24166)、Google Chrome WebCodecs组件越界读取漏洞(CNVD-2026-24167)、Google Chrome存在未明漏洞(CNVD-2026-24169)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24162
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24163
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24164
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24165
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24166
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24167
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24168
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24169
3、Siemens产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制目录名注入shell命令,从而执行任意命令,绕过文件系统权限检查,提升权限至root,执行任意代码或导致拒绝服务等。
CNVD收录的相关漏洞包括:Siemens SINEC INS操作系统命令注入漏洞(CNVD-2026-24175)、Siemens SINEC INS权限提升漏洞、Siemens SINEC INS存在未明漏洞、多款Siemens产品资源管理错误漏洞(CNVD-2026-24198)、多款Siemens产品代码问题漏洞(CNVD-2026-24199)、多款Siemens产品堆栈缓冲区溢出漏洞、多款Siemens产品越界读取漏洞(CNVD-2026-24201)、多款Siemens产品越界读取漏洞(CNVD-2026-24202)。除“多款Siemens产品代码问题漏洞(CNVD-2026-24199)”外,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24175
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24177
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24178
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24198
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24199
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24200
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24201
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24202
4、Adobe产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过诱导用户打开恶意文件在当前用户上下文中执行任意代码等。
CNVD收录的相关漏洞包括:Adobe Substance3D-Sampler越界写入漏洞、Adobe InCopy缓冲区溢出漏洞(CNVD-2026-24182)、Adobe InCopy堆缓冲区溢出漏洞(CNVD-2026-24181)、Adobe InDesign Desktop缓冲区溢出漏洞(CNVD-2026-24186)、Adobe InDesign Desktop堆缓冲区溢出漏洞(CNVD-2026-24185、CNVD-2026-24188、CNVD-2026-24187)、Adobe InDesign Desktop栈缓冲区溢出漏洞(CNVD-2026-24184)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24179
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24182
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24181
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24186
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24185
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24184
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24188
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24187
5、uBidAuction跨站脚本漏洞(CNVD-2026-24100)
本周,uBidAuction被披露存在跨站脚本漏洞。该漏洞产生的原因是auctions/manage模块过滤器功能未正确清理date_created、date_from、date_to和created_at参数。攻击者可利用该漏洞向拍卖管理筛选参数注入恶意脚本。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24100
漏洞攻击验证情况
1、D-Link DIR-513堆栈缓冲区溢出漏洞(CNVD-2026-24124)
验证描述
D-Link DIR-513存在堆栈缓冲区溢出漏洞该漏洞源于文件goform/formSetWAN_Wizard55中参数curTime未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。
验证信息
POC链接:
https://github.com/akuma-QAQ/CVEreport/tree/main/D-link/CVE-2025-70239
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-24124
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/CQ2r1nS-wDpN-10OJBYHyQ)