文章总结： CNVD发布2026年2月2日至8日高关注度产品安全漏洞周报，涵盖境外厂商JuniperNetworksJunosSpace跨站脚本漏洞、RockwellAutomationFactoryTalk授权问题、ApacheNimBLE代码问题、SiemensRUGGEDCOM输入验证错误、GooglePixel本地权限提升漏洞，以及境内厂商D-LinkDIR-860L命令注入、TendaAX1806堆栈溢出、TOTOLINKX6000R命令注入、D-LinkDAP-1325访问控制错误等漏洞，涉及网络管理、工控系统、蓝牙协议栈、移动设备及家用路由器，主要风险包括远程代码执行、权限提升、拒绝服务和配置泄露，建议相关用户及时关注厂商补丁更新并加强网络设备安全配置。 综合评分： 75 文章分类： 漏洞预警,网络安全,漏洞分析,IoT安全,应用安全

上周关注度较高的产品安全漏洞（20260202-20260208)

原创

CNVD CNVD

CNVD漏洞平台

2026年2月9日 17:37 北京

一、境外厂商产品漏洞

1、Juniper Networks Junos Space跨站脚本漏洞（CNVD-2026-09457）

Juniper Networks Junos Space是美国瞻博网络（Juniper Networks）公司的一套网络管理解决方案。该方案支持在设备和服务的整个生命周期内对其进行自动配置、监控和故障排除。Juniper Networks Junos Space存在跨站脚本漏洞，攻击者可利用该漏洞使用目标权限（包括管理员）执行命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-09457

2、Rockwell Automation FactoryTalk Services Platform授权问题漏洞

Rockwell Automation FactoryTalk Services Platform是美国罗克韦尔（Rockwell Automation）公司的一套由多个产品组成的服务平台，它为应用程序提供常规服务，如诊断信息、健康监视和实时数据访问等。Rockwell Automation FactoryTalk Services Platform存在安全漏洞，该漏洞源于不会验证备份配置存档是否受密码保护，可能会导致加载恶意配置存档，经过身份验证的攻击者可利用该漏洞制作恶意的备份存档。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10341

3、Apache NimBLE代码问题漏洞

Apache NimBLE是美国阿帕奇（Apache）基金会的一个开源蓝牙5.4堆栈（主机和控制器），完全取代Nordic芯片组上的专有SoftDevice。它是Apache Mynewt项目的一部分。Apache NimBLE 1.8.0及之前版本存在代码问题漏洞，该漏洞源于缺少对HCI连接完成或HCI命令TX缓冲区的验证，攻击者可利用该漏洞导致空指针取消引用。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-09795

4、Siemens RUGGEDCOM输入验证错误漏洞

Siemens RUGGEDCOM是德国西门子（Siemens）公司的一个通信设备。为电力，交通，石油和天然气及其他行业提供快速可靠的通信。Siemens RUGGEDCOM存在输入验证错误漏洞，该漏洞源于TLS证书上传过程中输入验证不足，攻击者可利用该漏洞导致设备崩溃和重启。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10344

5、Google Pixel aoc_ipc_core.c文件输入验证错误漏洞

Google Pixel是美国谷歌（Google）公司的一款智能手机。Google Pixel存在输入验证错误漏洞，该漏洞源于aoc_ipc_core.c中的aoc_service_read_message输入验证不当，攻击者可利用该漏洞导致本地权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10327

二、境内厂商产品漏洞

1、D-Link DIR-860L命令注入漏洞

D-Link DIR-860L是中国友讯（D-Link）公司的一款无线路由器。D-Link DIR-860L存在命令注入漏洞，该漏洞是由于组件简单服务发现协议的htdocs/cgibin文件的函数ssdpcgi_main中的缺陷引起的。攻击者可利用该漏洞在系统上执行任意操作系统命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10355

2、Tenda AX1806 fromSetSysTime函数堆栈溢出漏洞

Tenda AX1806是中国腾达（Tenda）公司的一个WiFi6无线路由器。Tenda AX1806 fromSetSysTime函数存在堆栈溢出漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10318

3、TOTOLINK X6000R命令注入漏洞（CNVD-2026-10356）

TOTOLINK X6000R是中国吉翁电子（TOTOLINK）公司的一款无线路由器。TOTOLINK X6000R存在命令注入漏洞，攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10356

4、Tenda AX1806 fromSetSysTime函数堆栈溢出漏洞

Tenda AX1806是中国腾达（Tenda）公司的一个WiFi6无线路由器。Tenda AX1806 fromSetSysTime函数存在堆栈溢出漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10318

5、D-Link DAP-1325访问控制错误漏洞

D-Link DAP-1325是中国友讯（D-Link）公司的一款无线接入点/桥接器，主要用于提供无线网络覆盖，并具备桥接功能，可以将有线网络转换为无线网络或将两个无线网络连接起来。D-Link DAP-1325在访问控制错误漏洞，攻击者可利用该漏洞下载设备配置设置。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10343

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞（20260202-20260208)》