正文

上周关注度较高的产品安全漏洞(20260420-20260426)

admin
admin V管理员 /0 评论 /8 阅读
0428
文章最后更新时间2026年04月28日,若文章内容或图片失效,请留言反馈!

一、境外厂商产品漏洞

1、Oracle VM VirtualBox Core组件内存破坏漏洞(CNVD-2026-18426)

Oracle VM VirtualBox是一款由Oracle开发的桌面虚拟化软件,主要用于在主机操作系统上创建和运行虚拟机。Oracle VM VirtualBox存在内存破坏漏洞。该漏洞源于Core组件未能正确处理内存操作,攻击者可利用该漏洞通过本地高权限登录在基础设施上执行恶意代码,最终完全控制Oracle VM VirtualBox。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18426 

2、Endian Firewall remark参数跨站脚本漏洞(CNVD-2026-18375)

Endian Firewall是Endian公司的一款网络安全防火墙系统。Endian Firewall remark参数存在跨站脚本漏洞,该漏洞源于对/manage/ipsec/中的remark参数处理不当,攻击者可利用该漏洞注入恶意脚本并在其他用户查看页面时执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18375 

3、Siemens SICAM SIAPP SDK路径遍历漏洞

Siemens SICAM SIAPP SDK是德国Siemens公司的一个软件开发工具包。Siemens SICAM SIAPP SDK存在路径遍历漏洞,该漏洞源于执行文件删除时未正确验证文件路径或目标,攻击者可利用该漏洞导致拒绝服务或服务中断。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17889 

4、Siemens SICAM SIAPP SDK命令执行漏洞

Siemens SICAM SIAPP SDK是德国Siemens公司的一个软件开发工具包。Siemens SICAM SIAPP SDK存在命令执行漏洞,攻击者可利用该漏洞导致命令注入和完全系统破解。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17888 

5、Google Chrome on Windows未初始化使用漏洞

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome on Windows存在未初始化使用漏洞,攻击者可利用该漏洞通过特制HTML页面执行沙箱逃逸。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17822 

二、境内厂商产品漏洞

1、TOTOLINK A3600R缓冲区溢出漏洞

TOTOLINK A3600R是中国吉翁电子(TOTOLINK)公司的一款6天线1200M无线路由器。TOTOLINK A3600R存在缓冲区溢出漏洞,该漏洞源于/lib/cste_modules/app.so库中setAppEasyWizardConfig函数的参数apcliSsid未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17701 

2、D-Link DI-8003缓冲区溢出漏洞(CNVD-2026-17698)

D-Link DI-8003是中国友讯(D-Link)公司的一款无线路由器。D-Link DI-8003存在缓冲区溢出漏洞。该漏洞是由于user.asp脚本中的边界检查不正确造成的,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17698 

3、D-Link DI-8003缓冲区溢出漏洞(CNVD-2026-17696)

D-Link DI-8003是中国友讯(D-Link)公司的一款无线路由器。D-Link DI-8003存在缓冲区溢出漏洞。该漏洞源于对/usb_paswd.asp端点中name参数处理不当,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17696 

4、Delta Electronics ASDA-Soft栈缓冲区溢出漏洞

Delta Electronics ASDA-Soft是中国台达电子(Delta Electronics)公司的一款交流伺服电机。Delta Electronics ASDA-Soft存在栈缓冲区溢出漏洞,该漏洞是由于在解析格式错误的.par文件时进行不正确边界检查造成的,攻击者可利用该漏洞执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18333 

5、ToToLink A3300R cstecgi.cgi url参数命令注入漏洞 

ToToLink A3300R是一款路由器产品,提供网络连接和数据传输功能。ToToLink A3300R存在命令注入漏洞,该漏洞源于未能正确验证/cgi-bin/cstecgi.cgi的url参数输入,攻击者可利用该漏洞通过发送特制请求执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18568

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网