正文

上周关注度较高的产品安全漏洞(20260504-20260510)

admin
admin V管理员 /0 评论 /31 阅读
0512
此篇文章发布距今已超过1天,您需要注意文章的内容或图片是否可用!

一、境外厂商产品漏洞

1、Google Chrome PDFium堆缓冲区溢出漏洞

Google Chrome是一款由Google开发的网页浏览器,其内置的PDFium组件用于渲染PDF文档。Google Chrome的PDFium存在堆缓冲区溢出漏洞,该漏洞源于未能正确处理特制PDF文件中的某些数据,攻击者可利用该漏洞通过诱使用户打开恶意PDF文件在沙箱内执行任意代码

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19176 

2、Google Chrome Media组件越界读取漏洞

Google Chrome是一款由Google开发的网页浏览器。Google Chrome的Media组件存在越界读取漏洞。该漏洞源于Media组件未能正确处理特定的UI手势,攻击者可利用该漏洞通过诱使用户访问恶意HTML页面来执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19174 

3、Google Chrome Viz组件内存错误引用漏洞

Google Chrome是一款由Google开发的网页浏览器。Google Chrome的Viz组件存在内存错误引用漏洞。该漏洞源于Viz组件未能正确处理内存对象,攻击者可利用该漏洞通过诱使用户访问特制HTML页面,在已攻陷渲染器进程的基础上潜在地实现沙箱逃逸。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19173 

4、IBM Langflow Desktop反序列化漏洞

IBM Langflow Desktop是美国国际商业机器(IBM)公司的一款AI流程编排桌面应用。IBM Langflow Desktop 1.8.2及之前版本存在反序列化漏洞。该漏洞源于不安全的默认设置允许反序列化不可信数据,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19177 

5、IBM DataPower Gateway跨站请求伪造漏洞(CNVD-2026-19180)

IBM DataPower Gateway是一款企业级应用安全网关,提供API管理和流量控制功能。IBM DataPower Gateway存在跨站请求伪造漏洞。该漏洞产生的原因是系统未能有效验证请求来源。攻击者可利用该漏洞通过诱导用户点击恶意链接执行未经授权的操作,对系统造成破坏。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19180 

二、境内厂商产品漏洞

1、TOTOLINK A3300R stunPort参数命令注入漏洞

TOTOLINK A3300R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。TOTOLINK A3300R stunPort参数存在命令注入漏洞,该漏洞源于/cgi-bin/cstecgi.cgi未能正确验证stunPort参数,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18804 

2、D-Link DIR-513堆栈缓冲区溢出漏洞(CNVD-2026-19424)

D-Link DIR-513是中国友讯(D-Link)公司的一款无线路由器产品。D-Link DIR-513存在堆栈缓冲区溢出漏洞该漏洞源于文件goform/formSetWANType_Wizard5中参数curTime未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19424 

3、D-Link DI-8003缓冲区溢出漏洞(CNVD-2026-19420)

D-Link DI-8003是中国友讯(D-Link)公司的一款无线路由器。D-Link DI-8003存在缓冲区溢出漏洞,该漏洞是由于wan_line_detection.asp脚本中的边界检查不正确造成的,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19420 

4、Huawei HarmonyOS多用户模块授权问题漏洞

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在授权问题漏洞,该漏洞源于多用户模块存在不当权限管理。攻击者可利用该漏洞导致机密性受影响。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19786 

5、D-Link DIR-X3260栈溢出漏洞(CNVD-2026-19785)

D-Link DIR-X3260是中国友讯(D-Link)公司的一个无线路由器设备。D-Link DIR-X3260存在栈溢出漏洞,远程攻击者可利用该漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19785

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网