正文

上周关注度较高的产品安全漏洞(20260518-20260524)

admin
admin V管理员 /0 评论 /6 阅读
0530
文章最后更新时间2026年05月30日,若文章内容或图片失效,请留言反馈!

一、境外厂商产品漏洞

1、Apache OFBiz Content组件服务端请求伪造漏洞

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz Content组件存在服务端请求伪造漏洞,目前没有详细的漏洞细节提供。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21174  

2、Adobe ColdFusion路径遍历漏洞(CNVD-2026-20791)

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在路径遍历漏洞,攻击者可利用该漏洞绕过安全限制,访问预期范围之外的未授权文件或目录。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-20791 

3、Apache CloudStack竞争条件问题漏洞

Apache CloudStack是美国阿帕奇(Apache)基金会的一套基础架构即服务(IaaS)云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache CloudStack存在竞争条件问题漏洞。该漏洞源于资源计数和增量逻辑中存在多个检查时间使用时间竞争条件以及缺少验证,攻击者可利用该漏洞导致用户超出分配限制,从而降低基础设施资源并导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-20428 

4、Adobe Experience Manager跨站脚本漏洞(CNVD-2026-20790)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞。该漏洞是由于对用户提供的输入验证不当造成的,攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-20790 

5、Linux kernel Dirty Frag权限提升漏洞(CNVD-2026-21360)

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel Dirty Frag存在权限提升漏洞,该漏洞源于rxrpc中DATA和RESPONSE数据包处理时未对分页片段进行分离,攻击者可利用该漏洞导致就地解密路径绑定外部分页片段。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21360 

二、境内厂商产品漏洞

1、ZTE ZXCLOUD iRAI openssl.cnf权限提升漏洞

ZTE ZXCLOUD iRAI是一款云计算终端管理产品,主要提供虚拟桌面接入和远程管理功能。ZTE ZXCLOUD iRAI存在openssl.cnf权限提升漏洞,该漏洞源于程序对openssl.cnf文件的权限控制不当,攻击者可利用该漏洞在本地执行任意代码并提升权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21306

2、Huawei HarmonyOS拒绝服务漏洞(CNVD-2026-21278)

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在拒绝服务漏洞,该漏洞源于内核模块存在数据校验错误,功能中断。攻击者可利用该漏洞导致WLAN断开。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21278 

3、Zyxel NWA50AX PRO路径遍历漏洞

Zyxel NWA50AX PRO是中国合勤(Zyxel)公司的一款无线路由器。Zyxel NWA50AX PRO存在路径遍历漏洞,该漏洞源于file_upload-cgi CGI程序存在路径遍历,攻击者可利用该漏洞通过访问受限目录之外的位置,获取敏感文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21209 

4、ZTE MU5250信息泄露漏洞

ZTE MU5250是一款中兴通讯推出的移动宽带设备,主要用于提供无线网络连接。ZTE MU5250存在信息泄露漏洞,该漏洞源于Web接口的权限控制不当,攻击者可利用该漏洞通过Web接口修改设备配置。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21268 

5、Zyxel VMG8825-T50K缓冲区溢出漏洞(CNVD-2026-21210)

Zyxel VMG8825-T50K是中国合勤(Zyxel)公司的一款互联网接入设备。Zyxel VMG8825-T50K V5.50(ABOM.5)C0之前版本存在缓冲区溢出漏洞,该漏洞源于应用在处理不受信任的输入时出现边界错误,攻击者可利用该漏洞导致拒绝服务或执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21210 

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网