文章总结： CNVD发布2026年1月中旬高关注度漏洞通报。境外方面Firefox存在内存错误引用致任意代码执行，Intel多款工具及Android存在权限提升或拒绝服务风险。境内方面Tenda及TOTOLINK路由器存在栈溢出或代码执行漏洞，D-Link设备存在访问绕过，TeamCity及安科瑞云平台分别存在逻辑缺陷与SQL注入漏洞。建议相关用户参考官方链接及时升级或缓解风险。 综合评分： 75 文章分类： 漏洞预警,网络安全,IoT安全

上周关注度较高的产品安全漏洞(20260112-20260118)

原创

CNVD CNVD

CNVD漏洞平台

2026年1月19日 18:18 北京

一、境外厂商产品漏洞

1、Mozilla Firefox内存错误引用漏洞（CNVD-2026-02991）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在内存错误引用漏洞，攻击者可利用该漏洞在系统上执行任意代码或导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02991

2、Intel Processor Identification Utility默认权限设置不当漏洞

Intel Processor Identification Utility是一款由英特尔公司推出的免费软件工具，主要用于识别安装在系统中的Intel处理器的具体规格和特性。Intel Processor Identification Utility存在默认权限设置不当漏洞，攻击者可利用该漏洞导致权限提升和本地代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02953

3、Intel Processor Identification Utility未控制的搜索路径漏洞

Intel Processor Identification Utility是一款由英特尔公司推出的免费软件工具，主要用于识别安装在系统中的Intel处理器的具体规格和特性。Intel Processor Identification Utility存在未控制的搜索路径漏洞，攻击者可利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02954

4、Google Android拒绝服务漏洞（CNVD-2026-02932）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在拒绝服务漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02932

5、Intel Graphics Software代码问题漏洞

Intel Graphics Software是英特尔推出的一款‌一体化显卡管理软件。Intel Graphics Software存在代码问题漏洞，该漏洞源于用户应用程序中存在不受控的搜索路径，攻击者可利用该漏洞导致权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02951

二、境内厂商产品漏洞

1、Tenda AX-1806路由器栈溢出漏洞

Tenda AX-1806是中国腾达(Tenda)公司的一个WiFi6无线路由器。Tenda AX-1806 v1.0.0.1版本中存在栈溢出漏洞。该漏洞是由于受影响产品的某个处理函数(sub_65A28)在解析serverName参数时，未对输入长度进行有效验证。攻击者可利用该漏洞通过构造超长字符串覆盖栈内存，进而劫持程序执行流。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04539

2、D-Link DSL-124访问控制错误漏洞

D-Link DSL-124是中国友讯（D-Link）公司的一款光猫路由一体机。D-Link DSL-124访问控制错误漏洞，未经验证的攻击者可利用该漏洞通过POST请求获取路由器设置。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04184

3、捷并思（上海）信息技术有限责任公司TeamCity存在逻辑缺陷漏洞

TeamCity是一款由JetBrains开发的持续集成（Continuous Integration，CI）和持续部署（Continuous Deployment，CD）工具。捷并思（上海）信息技术有限责任公司TeamCity存在逻辑缺陷漏洞，攻击者可利用漏洞执行未授权操作。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04801

4、安科瑞电气股份有限公司环保用电监管云平台存在SQL注入漏洞（CNVD-2026-04294）

安科瑞电气股份有限公司是一家为企业微电网能效管理和用能安全提供解决方案的高新技术企业和软件企业。安科瑞电气股份有限公司环保用电监管云平台存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04294

5、TOTOLINK X5000R代码执行漏洞

TOTOLINK X5000R是中国吉翁电子（TOTOLINK）公司的一个路由器。TOTOLINK X5000R存在代码执行漏洞，攻击者可利用该漏洞导致未经验证的用户以空密码登录并获得root权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03712

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260112-20260118)》