文章总结: CNNVD本周采集漏洞1261个,数量上升。WordPress基金会漏洞居多,跨站脚本占比最高。超危漏洞68个,高危286个,整体修复率53.53%。重点漏洞涉及ApacheSolr未授权访问、IBMApplinX权限提升及OllamaMCP命令注入等AI组件安全风险。建议用户及时下载补丁修复。 综合评分: 70 文章分类: 漏洞预警,AI安全,应用安全
信息安全漏洞周报(2026年第4期)
原创
CNNVD CNNVD
CNNVD安全动态
2026年1月28日 14:21 北京
点击蓝字 关注我们
漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周(2026年1月19日至2026年1月25日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1261个。
接报漏洞情况
本周CNNVD接报漏洞4225个,其中信息技术产品漏洞(通用型漏洞)425个,网络信息系统漏洞(事件型漏洞)9个,漏洞平台推送漏洞3791个。
一 公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1261个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有483个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到12.45%。新增漏洞中,超危漏洞68个,高危漏洞286个,中危漏洞869个,低危漏洞38个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞1261个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有483个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
本周国内厂商漏洞61个,腾达公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为22.58%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到12.45%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞68个,高危漏洞286个,中危漏洞869个,低危漏洞38个。相应修复率分别为80.88%、60.49%、48.68%和63.16%。根据补丁信息统计,合计675个漏洞已有修复补丁发布,整体修复率为53.53%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
- Apache Solr 安全漏洞(CNNVD-202601-3432)
Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器,具有层面搜索、垂直搜索、高亮显示搜索结果等功能。
Apache Solr 5.3.0版本至9.10.0版本存在安全漏洞,该漏洞源于对授权插件输入验证不足,攻击者利用该漏洞可以访问Solr API。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://solr.apache.org/
- IBM ApplinX 数据伪造问题漏洞(CNNVD-202601-3205)
IBM ApplinX是美国国际商业机器(IBM)公司的一个专注于将绿屏界面转换为基于 Web 的现代应用程序。
IBM ApplinX 11.1版本存在数据伪造问题漏洞,该漏洞源于JWT令牌验证不当,攻击者利用该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.ibm.com/support/pages/node/7257446
- WordPress plugin NotificationX 跨站脚本漏洞(CNNVD-202601-3257)
WordPress和WordPress plugin NotificationX都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin NotificationX是一个应用插件。
WordPress plugin NotificationX 3.2.0版本及之前版本存在跨站脚本漏洞,该漏洞源于在处理预览数据时对输入清理和输出转义不足,攻击者利用该漏洞可以注入任意Web脚本。
目前厂商已发布升级补丁以修复漏洞,参考链接:
NotificationX – FOMO, Live Sales Notification, WooCommerce Sales Popup, GDPR, Social Proof, Announcement Banner & Floating Notification Bar
(五) 本周重要人工智能漏洞实例
本周重要人工智能漏洞实例如表5所示。
表5 本期重要人工智能漏洞实例
- Ollama MCP Server 命令注入漏洞(CNNVD-202601-4198)
Ollama MCP Server是Ollama开源的一个基于大模型上下文协议的服务端组件。
Ollama MCP Server存在操作系统命令注入漏洞,该漏洞源于execAsync函数缺少对用户提供字符串的验证,攻击者利用该漏洞可以远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/ollama/ollama/releases
- Chainlit 路径遍历漏洞(CNNVD-202601-3089)
Chainlit是chainlit开源的一个大模型对话界面框架。
Chainlit 2.9.4之前版本存在路径遍历漏洞,该漏洞源于对/project/element中路径参数处理不当,攻击者利用该漏洞可以读取任意文件。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/Chainlit/chainlit/releases
- Lobe Chat 安全漏洞(CNNVD-202601-3044)
Lobe Chat是LobeHub开源的一个高性能的聊天机器人框架。
Lobe Chat 2.0.0-next.193之前版本存在安全漏洞,该漏洞源于缺少所有权验证,攻击者利用该漏洞可以删除任意文件。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/lobehub/lobe-chat/releases
二 漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞3791个。
表6 本周漏洞平台推送情况
三 接报漏洞情况
本周CNNVD接报漏洞434个,其中信息技术产品漏洞(通用型漏洞)425个,网络信息系统漏洞(事件型漏洞)9个。
表7 本周漏洞报送情况
四 收录漏洞通报情况
本周CNNVD收录漏洞通报253份。
表8 本周漏洞通报情况
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CNNVD安全动态 CNNVD CNNVD《信息安全漏洞周报(2026年第4期)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论