文章总结： CNVD通报上周10个高危漏洞：AdobeColdFusion可写任意文件；Chrome两漏洞致堆损坏与RCE；WordPress插件出现文件上传、CSRF；用友BIP与U9分别存在目录遍历和任意文件下载；绿联DH2100+NAS含命令执行与拒绝服务漏洞；锐昉RB系统SQL注入可泄露数据库。整体覆盖Web、浏览器、ERP、NAS多场景，建议立即升级补丁并限制暴露面。 综合评分： 82 文章分类： 漏洞预警,WEB安全,终端安全,网络安全,安全建设

上周关注度较高的产品安全漏洞20260119-20260125)

原创

CNVD CNVD

CNVD漏洞平台

2026年1月26日 18:20 北京

一、境外厂商产品漏洞

1、Adobe ColdFusion输入验证不当漏洞

Adobe ColdFusion是由Adobe公司维护的‌动态Web服务器平台‌和‌应用程序开发框架‌，主要用于快速构建和部署数据驱动的动态网站、Web应用程序及企业级服务。Adobe ColdFusion存在输入验证不当漏洞，攻击者可利用该漏洞向系统写任意文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04942

2、Google Chrome释放后重用漏洞

Google Chrome是由谷歌公司开发的一款网页浏览器，旨在为用户提供快速、安全且可定制的网络浏览体验。Google Chrome存在释放后重用漏洞，该漏洞源于数字凭证释放后重用，攻击者可利用该漏洞导致堆损坏攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04890

3、WordPress Uploadify plugin代码问题漏洞

WordPress Uploadify plugin是一个基于jQuery的多文件上传插件，它允许网站管理员或用户在网页上实现直观、可定制的文件上传功能。WordPress Uploadify plugin存在代码问题漏洞，该漏洞源于process_upload.php缺少文件类型验证，攻击者可利用该漏洞导致任意文件上传，进而允许远程代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-07027

4、Google Chrome错误类型转换漏洞

Google Chrome是由谷歌公司开发的一款网页浏览器，旨在为用户提供快速、安全且可定制的网络浏览体验。Google Chrome存在错误类型转换漏洞，该漏该漏洞源于加载器中存在错误类型转换，攻击者可利用该漏洞通过诱使用户访问特制HTML页面，在已攻破的渲染器进程中触发堆损坏，从而执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-04888

5、WordPress Stopwords for comments plugin跨站请求伪造漏洞

WordPress Stopwords for comments plugin是一个用于‌预审评论‌的工具，旨在帮助网站管理员过滤掉包含特定禁用词汇（即“停用词”）的用户评论。WordPress Stopwords for comments plugin存在跨站请求伪造漏洞，该漏洞源于set_stopwords_for_comments和delete_stopwords_for_comments缺少随机数验证，攻击者可利用该漏洞添加或删除停用词。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-07012

二、境内厂商产品漏洞

1、用友网络科技股份有限公司用友BIP数据应用服务存在目录遍历漏洞

用友网络科技股份有限公司是亚太本土管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商，也是中国领先的企业云服务、医疗卫生信息化、管理咨询及管理信息化人才提供商。用友网络科技股份有限公司用友BIP数据应用服务存在目录遍历漏洞，攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06271

2、深圳市绿联科技股份有限公司DH2100+ NAS存在命令执行漏洞

DH2100+ NAS是一款双盘位网络附加存储设备，专为家庭和个人用户设计。深圳市绿联科技股份有限公司DH2100+ NAS存在命令执行漏洞，攻击者可利用漏洞远程执行命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-05793

3、上海锐昉科技有限公司RB企业管理系统存在SQL注入漏洞

RB企业管理系统是一款零代码、开源免费的企业管理系统。上海锐昉科技有限公司RB企业管理系统存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06604

4、用友网络科技股份有限公司用友U9多组织企业互联网应用平台存在任意文件下载漏洞

用友网络科技股份有限公司是亚太本土管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商，也是中国领先的企业云服务、医疗卫生信息化、管理咨询及管理信息化人才提供商。用友网络科技股份有限公司用友U9多组织企业互联网应用平台存在任意文件下载漏洞，攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-06289

5、深圳市绿联科技股份有限公司DH2100+存在二进制漏洞

DH2100+是一款面向家庭和个人用户的私有云网络存储设备（NAS）。深圳市绿联科技股份有限公司DH2100+存在二进制漏洞，攻击者可利用漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-05792

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞20260119-20260125)》