文章总结： 本周CNNVD采集漏洞1143个，接报3121个，整体修复率70.52%。重点通报ApacheStruts高危漏洞，可致信息泄露或拒绝服务。另涵盖WordPress、Adobe、Android及LibreChat等漏洞，涉及代码执行及数据窃取风险。建议用户及时确认版本并修补。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,WEB安全,AI安全,应用安全

信息安全漏洞周报（2026年第3期）

原创

CNNVD CNNVD

CNNVD安全动态

2026年1月21日 14:03 北京

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年1月12日至2026年1月18日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞1143个。

接报漏洞情况

本周CNNVD接报漏洞3121个，其中信息技术产品漏洞（通用型漏洞）338个，网络信息系统漏洞（事件型漏洞）36个，漏洞平台推送漏洞2747个。

重大漏洞通报

Apache Struts安全漏洞（CNNVD-202601-1787、CVE-2025-68493）：成功利用漏洞的攻击者，可获取目标服务器敏感信息或导致服务器拒绝服务。Apache Struts多个版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一 公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1143个，漏洞新增数量有所上升。从厂商分布来看Linux基金会新增漏洞最多，有137个；从漏洞类型来看，代码问题类的安全漏洞占比最大，达到7.87%。新增漏洞中，超危漏洞85个，高危漏洞429个，中危漏洞603个，低危漏洞26个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1143个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，Linux基金会新增漏洞最多，有137个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞84个，华为公司漏洞数量最多，有16个。国内厂商漏洞整体修复率为47.67%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，代码问题类的安全漏洞占比最大，达到7.87%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞85个，高危漏洞429个，中危漏洞603个，低危漏洞26个。相应修复率分别为56.47%、69.93%、72.47%和80.77%。根据补丁信息统计，合计806个漏洞已有修复补丁发布，整体修复率为70.52%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. WordPress plugin Modular DS modular-connector 安全漏洞（CNNVD-202601-2737）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。

WordPress plugin Modular DS modular-connector 2.5.2版本至2.6.0之前版本存在安全漏洞，该漏洞源于权限分配不当，攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

Modular DS: Monitor, update, and backup multiple websites

2. Adobe InDesign Desktop 缓冲区错误漏洞（CNNVD-202601-2017）

Adobe InDesign Desktop是美国奥多比（Adobe）公司的一款页面排版软件。

Adobe InDesign Desktop 21.0版本、19.5.5版本及之前版本存在缓冲区错误漏洞，该漏洞源于访问未初始化的指针，攻击者利用该漏洞可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://helpx.adobe.com/security/products/indesign/apsb26-02.html

3. Google Android 安全漏洞（CNNVD-202601-2584）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。

Google Android存在安全漏洞，该漏洞源于密钥配对逻辑错误，攻击者利用该漏洞可以远程获取敏感信息。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://source.android.com/docs/security/overview/acknowledgements

（五） 本周重要人工智能漏洞实例

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

1. LibreChat 授权问题漏洞（CNNVD-202601-1819）

LibreChat是LibreChat开源的一个免费、高度可定制的统一 AI 对话平台，具有在一个界面中聚合并运行来自任意厂商大模型的功能。

LibreChat v0.8.2-rc2之前版本存在授权问题漏洞，该漏洞源于MCP stdio传输接受任意命令且未经验证，攻击者利用该漏洞可以通过单个API请求以root身份在容器内执行shell命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/danny-avila/LibreChat/tags

2. MindsDB 安全漏洞（CNNVD-202601-1833）

MindsDB是MindsDB公司的一个专为AI代理和大语言模型设计的联合查询引擎，具有回答pb级企业数据问题的功能。

MindsDB 25.11.1之前版本存在安全漏洞，该漏洞源于文件上传API中用户控制的数据直接拼接至文件系统路径，攻击者利用该漏洞可以获取敏感数据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/mindsdb/mindsdb/releases

3. LlamaIndex 代码问题漏洞（CNNVD-202601-1885）

LlamaIndex是LlamaIndex开源的一个 LLM 应用程序的数据框架。

LlamaIndex 0.11.6及之前版本存在代码问题漏洞，该漏洞源于BGEM3Index.load_from_disk函数使用pickle.load反序列化用户提供的文件且未经验证，攻击者利用该漏洞可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/run-llama/llama_index/releases

二 漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞2747个。

表6 本周漏洞平台推送情况

三 接报漏洞情况

本周CNNVD接报漏洞374个，其中信息技术产品漏洞（通用型漏洞）338个，网络信息系统漏洞（事件型漏洞）36个。

表7 本周漏洞报送情况

四 收录漏洞通报情况

本周CNNVD收录漏洞通报210份。

表8 本周漏洞通报情况

五 重大漏洞通报

CNNVD关于Apache Struts安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts安全漏洞（CNNVD-202601-1787、CVE-2025-68493）情况的报送。成功利用漏洞的攻击者，可获取目标服务器敏感信息或导致服务器拒绝服务。Apache Struts多个版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

1.漏洞介绍

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。

Apache Struts的XWork组件在解析XML配置文件时未对输入进行充分的安全校验，攻击者可通过提交恶意XML文档，诱使服务器在解析过程中加载文件触发漏洞。成功利用漏洞的攻击者，可获取目标服务器敏感信息或导致服务器拒绝服务。

2.危害影响

Apache Struts 2.0.0版本至2.3.37版本、2.5.0版本至2.5.33版本、6.0.0 版本至6.1.0版本存在安全漏洞。

3.修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方补丁链接：

https://struts.apache.org/download.cgi

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNNVD安全动态 CNNVD CNNVD《信息安全漏洞周报（2026年第3期）》