漏洞安全告警
1、Google产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过恶意外设在受影响系统上执行任意代码,通过特制HTML页面在沙盒内执行任意代码,发送特制RTP文本数据,在目标设备上执行任意代码等。
CNVD收录的相关漏洞包括:Google Chrome Bluetooth内存错误引用漏洞、Google Chrome Blink内存错误引用漏洞、Google Chrome Autofill内存错误引用漏洞、Google Pixel远程代码执行漏洞(CNVD-2026-25583)、Google Chrome Blink内存错误引用漏洞(CNVD-2026-25582)、Google Android缓冲区溢出漏洞(CNVD-2026-25586)、Google Pixel远程代码执行漏洞(CNVD-2026-25584)、Google Chrome资源管理错误漏洞(CNVD-2026-26223)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25581
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25580
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25579
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25583
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25582
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25586
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25584
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26223
2、Apple产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在处理恶意USD文件时导致应用意外终止,导致应用绕过App隐私报告日志记录,通过诱导用户访问恶意网站导致敏感数据泄露等。
CNVD收录的相关漏洞包括:多款Apple产品拒绝服务漏洞(CNVD-2026-26097、CNVD-2026-26102)、Apple iOS和Apple iPadOS拒绝服务漏洞、Apple iOS和Apple iPadOS安全绕过漏洞、Apple Safari路径遍历漏洞(CNVD-2026-26335)、Apple Safari权限问题漏洞(CNVD-2026-26338)、Apple Safari Content资源管理错误漏洞(CNVD-2026-26337)、Apple Safari WebKit堆栈溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26097
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26100
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26101
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26102
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26335
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26338
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26337
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26336
3、Fortinet产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制的HTTP请求执行未授权命令,实现未授权的访问控制操作,通过特制数据包执行未经授权的代码或命令等。
CNVD收录的相关漏洞包括:Fortinet FortiSandbox OS命令注入漏洞(CNVD-2026-25587)、Fortinet FortiAuthenticator访问控制错误漏洞(CNVD-2026-25590)、Fortinet FortiAP操作系统命令注入漏洞(CNVD-2026-25589)、Fortinet FortiPortal访问控制漏洞(CNVD-2026-25588)、Fortinet FortiOS访问控制错误漏洞(CNVD-2026-25594)、Fortinet FortiOS缓冲区溢出漏洞(CNVD-2026-25593)、Fortinet FortiNDR SQL注入漏洞(CNVD-2026-25592)、Fortinet FortiMail SQL注入漏洞(CNVD-2026-25591)。除“Fortinet FortiPortal访问控制漏洞(CNVD-2026-25588)外”,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25587
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25590
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25589
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25588
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25594
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25593
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25592
https://www.cnvd.org.cn/flaw/show/CNVD-2026-25591
4、Mozilla产品安全漏洞
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致窃取受害者基于cookie的身份验证凭据,提升特权,在系统上执行任意代码,导致拒绝服务等。
CNVD收录的相关漏洞包括:Mozilla Focus for iOS和Mozilla Klar for iOS跨站脚本漏洞、多款Mozilla产品权限提升漏洞(CNVD-2026-26106)、多款Mozilla产品代码执行漏洞(CNVD-2026-26107)、多款Mozilla产品内存错误引用漏洞(CNVD-2026-26108)、多款Mozilla产品拒绝服务漏洞(CNVD-2026-26374)、多款Mozilla产品处理逻辑错误漏洞(CNVD-2026-26385、CNVD-2026-26386)、多款Mozilla产品缓冲区溢出漏洞(CNVD-2026-26388)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26105
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26106
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26107
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26108
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26374
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26385
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26386
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26388
5、D-Link DIR-513堆栈缓冲区溢出漏洞(CNVD-2026-26092)
本周,D-Link DIR-513被披露存在堆栈缓冲区溢出漏洞。该漏洞源于formTcpipSetup函数未能正确验证输入数据的长度大小。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26092
漏洞攻击验证情况
1、uBidAuction跨站脚本漏洞(CNVD-2026-26093)
验证描述
uBidAuction存在跨站脚本漏洞,该漏洞产生的原因是orders/myOrders模块过滤器功能未正确清理date_created、date_from、date_to和created_at参数。攻击者可利用该漏洞在受害者浏览器中执行精心编制的GET请求注入恶意脚本。
验证信息
POC链接:
https://www.exploit-db.com/exploits/50693
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2026-26093
(来源:“网信温州”微信公众号)
(链接:https://mp.weixin.qq.com/s/lIesea1gL9nl2pH8G7hUsA)