2026-01-20 01:12:46 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： CNVD本周收录漏洞1272个，高危731个，0day占比79%，整体威胁中等。重点提及AdobeXSS、GoogleAndroid拒绝服务、Mozilla代码执行及Dell缓冲区溢出等高危漏洞，Tenda产品暂无补丁。验证了D-Link路由器命令注入漏洞POC。共处置行业漏洞2427起。建议相关用户及时下载补丁更新，防范代码执行及权限提升风险。 综合评分： 86 文章分类： 漏洞预警,漏洞分析,漏洞POC,网络安全,应用安全

cover_image

CNVD漏洞周报2026年第2期

原创

CNVD CNVD

CNVD漏洞平台

2026年1月19日 18:18 北京

2026年01月12日-2026年01月18日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞1272个，其中高危漏洞731个、中危漏洞495个、低危漏洞46个。漏洞平均分值为6.79。本周收录的漏洞中，涉及0day漏洞1005个（占79%），其中互联网上出现“D-Link DWR-M920命令注入漏洞、D-Link DSL-124访问控制错误漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数2427个，与上周（11313个）环比下降79%。

‍图1CNVD收录漏洞近10周平均分值分布图

图2CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件0起，向基础电信企业通报漏洞事件2起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件304起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件26起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件10起。

图3CNVD各行业漏洞处置情况按周统计

图4CNCERT各分中心处置情况按周统计

图5CNVD教育行业应急组织处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

中科方德软件有限公司、郑州市金水区恒友摄影软件经营部、浙江宇视科技有限公司、浙江兰德纵横网络技术股份有限公司、云智慧（北京）科技有限公司、宇泛智能科技股份有限公司、友讯电子设备（上海）有限公司、西安旌旗电子股份有限公司、武汉天地伟业科技有限公司、武汉达梦数据库有限公司、卫宁健康科技集团股份有限公司、天津神州浩天科技有限公司、神州数码控股有限公司、深圳市易宇通科技有限公司、深圳市赛普管理咨询有限公司、深圳市明源云科技有限公司、深圳市蓝凌软件股份有限公司、深圳市吉祥腾达科技有限公司、深圳市后天无限网络通信技术有限公司、深圳市必联电子有限公司、深圳市爱德数智科技股份有限公司、深圳勤杰软件有限公司、深圳科士达科技股份有限公司、上海卓卓网络科技有限公司、上海卫宁数据科技有限公司、上海华测导航技术股份有限公司、上海宏理信息科技有限公司、上海德米萨信息科技有限公司、上海博达数据通信有限公司、熵基科技股份有限公司、山东领图信息科技股份有限公司、山东博硕自动化技术有限公司、厦门天锐科技股份有限公司、厦门四信通信科技有限公司、厦门科拓通讯技术股份有限公司、仁和兴业（深圳）软件有限公司、青果软件集团有限公司、青岛东胜伟业软件有限公司、麒麟软件有限公司、宁波市鄞州英赛特软件有限公司、乐金电子（中国）有限公司、佳能（中国）有限公司、杭州叙简科技股份有限公司、杭州短链网络技术有限公司、广州好象科技有限公司、广汽传祺汽车有限公司、广东邦泽创科电器股份有限公司、鼎捷数智股份有限公司、成都朗速科技有限公司、畅捷通信息技术股份有限公司、北京中识科技有限公司、北京亿赛通科技发展有限责任公司、北京星网锐捷网络技术有限公司、北京西斯耐特自动化技术有限公司、北京万维盈创科技发展有限公司、北京硕人时代科技股份有限公司、北京数影互联科技有限公司、北京盛科维科技发展有限公司、北京神州视翰科技有限公司、北京山石网科信息技术有限公司、北京金和网络股份有限公司、北京安普诺信息技术有限公司、安美微客（上海）互联网科技有限公司和安徽逸路安科技股份有限公司。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，北京启明星辰信息安全技术有限公司、深信服科技股份有限公司、阿里云计算有限公司、北京神州绿盟科技有限公司、北京数字观星科技有限公司等单位报送公开收集的漏洞数量较多。浙江安腾信息技术有限公司、成都卫士通信息安全技术有限公司、联想集团、字节跳动安全中心、360漏洞研究院、河南东方云盾信息技术有限公司、成都久信信息技术股份有限公司、北京百度网讯科技有限公司、云卫士（福建）科技有限公司、中国电信股份有限公司研究院、星云博创科技有限公司、成都华软技术工程有限公司、济南三泽信息安全测评有限公司、北京卓识网安技术股份有限公司、广州华南检验检测中心有限公司、闪捷信息科技有限公司、上海直画科技有限公司、沥泉科技(成都)有限公司、中国电信股份有限公司上海研究院、深圳天溯计量检测股份有限公司、中资网络信息安全科技有限公司及其他个人白帽子向CNVD提交了2427个以事件型漏洞为主的原创漏洞，其中包括上海交大、奇安信网神（补天平台）向CNVD共享的白帽子报送1725条原创漏洞信息。

表1漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了1272个漏洞。WEB应用885个，应用程序177个，网络设备（交换机、路由器等网络端设备）124个，操作系统61个，智能设备（物联网终端设备）19个，安全产品6个。

表2漏洞按影响类型统计表

图6本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及北京金和网络股份有限公司、畅捷通信息技术股份有限公司、Adobe等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了26个电信行业漏洞，47个移动互联网行业漏洞，3个工控行业漏洞（如下图所示）。其中，“Tenda AC7 formWifiWpsOOB方法堆栈缓冲区溢出漏洞、Google Android拒绝服务漏洞（CNVD-2026-02932）”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图7电信行业漏洞统计

图8移动互联网行业漏洞统计

图9工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞窃取受害者基于cookie的身份验证凭据。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2026-04219、CNVD-2026-04220、CNVD-2026-04221、CNVD-2026-04222、CNVD-2026-04223、CNVD-2026-04224、CNVD-2026-04225、CNVD-2026-04226）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04219

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04220

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04221

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04222

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04223

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04224

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04225

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04226

2、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得更高的权限，导致拒绝服务。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2026-02933、CNVD-2026-02949、CNVD-2026-02974）、Google Android拒绝服务漏洞（CNVD-2026-02932、CNVD-2026-02962、CNVD-2026-02964、CNVD-2026-02975）、Google Android信息泄露漏洞（CNVD-2026-03535）。其中，“Google Android拒绝服务漏洞（CNVD-2026-02932）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02933

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02932

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02949

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02962

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02964

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02974

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02975

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03535

3、Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。Mozilla Firefox for iOS是美国Mozilla基金会的一款针对iOS设备设计的网页浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，在系统上执行任意代码或导致拒绝服务等。

CNVD收录的相关漏洞包括：Mozilla Firefox内存错误引用漏洞（CNVD-2026-02991）、Mozilla Firefox代码执行漏洞（CNVD-2026-03011）、多款Mozilla产品代码执行漏洞（CNVD-2026-03529、CNVD-2026-03530）、多款Mozilla产品安全绕过漏洞（CNVD-2026-03531、CNVD-2026-03533）、Mozilla Firefox for iOS欺骗漏洞（CNVD-2026-03532）、Mozilla Firefox信息泄露漏洞（CNVD-2026-03534）。其中，“Mozilla Firefox内存错误引用漏洞（CNVD-2026-02991）、Mozilla Firefox代码执行漏洞（CNVD-2026-03011）、多款Mozilla产品代码执行漏洞（CNVD-2026-03529）、多款Mozilla产品安全绕过漏洞（CNVD-2026-03533）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-02991

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03011

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03529

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03530

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03531

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03532

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03533

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03534

4、Dell产品安全漏洞

Dell ControlVault3和Dell ControlVault3 Plus都是美国戴尔（Dell）公司的一款基于硬件的安全解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞系统上执行任意代码，导致权限提升，导致内存崩溃。

CNVD收录的相关漏洞包括：Dell ControlVault3和Dell ControlVault3 Plus CvManager_SBI功能缓冲区溢出漏洞、Dell ControlVault3和Dell ControlVault3 Plus CvManager功能缓冲区溢出漏洞、Dell ControlVault3和Dell ControlVault3 Plus越界读写漏洞（CNVD-2026-03548、CNVD-2026-03549、CNVD-2026-03558、CNVD-2026-03570、CNVD-2026-03617）、Dell ControlVault3和Dell ControlVault3 Plus权限提升漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03545

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03546

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03548

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03549

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03550

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03558

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03570

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03617

5、Tenda WH450 goform/Natlimit文件缓冲区溢出漏洞

Tenda WH450是中国腾达（Tenda）公司的一款无线接入点。本周，Tenda WH450被披露存在缓冲区溢出漏洞，该漏洞源于组件HTTP Request Handler的文件/goform/Natlimit中参数page未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-03087

小结：本周，Adobe产品被披露存在跨站脚本漏洞，攻击者可利用漏洞窃取受害者基于cookie的身份验证凭据。此外，Google、Mozilla、Dell等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，在系统上执行任意代码，导致权限提升，导致拒绝服务等。另外，Tenda WH450被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

本周重要漏洞攻击验证情况

本周，CNVD建议注意防范以下已公开漏洞攻击验证情况。

1、D-Link DWR-M920命令注入漏洞

验证描述

D-Link DWR-M920是中国友讯（D-Link）公司的一款路由器。

D-Link DWR-M920存在命令注入漏洞，该漏洞源于对文件/boafrm/formLtefotaUpgradeQuectel中参数fota_url的错误操作，攻击者可利用该漏洞导致命令注入。

验证信息

POC链接：

https://github.com/panda666-888/vuls/blob/main/d-link/dwr-m920/formLtefotaUpgradeQuectel.md

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04185

信息提供者

北京启明星辰信息安全技术有限公司

注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

关于CNVD

国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase，简称CNVD）是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

关于CNCERT

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国计算机网络应急处理体系中的牵头单位。

作为国家级应急中心，CNCERT的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障基础信息网络和重要信息系统的安全运行。

网址：www.cert.org.cn

邮箱：[email protected]

电话：010-82991537

关注CNVD漏洞平台

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《CNVD漏洞周报2026年第2期》