文章总结： 本文档是CNVD发布的上周产品安全漏洞周报，列举了关注度较高的境内外厂商漏洞。境外涉及WordPress插件信息泄露、NVIDIA代码注入、微软Hyper-V缓冲区溢出等；境内涉及D-Link路由器命令注入、华为HarmonyOS及EMUI权限与缓冲区漏洞。文档旨在通报风险，建议用户及时关注并采取修补措施。 综合评分： 80 文章分类： 漏洞预警,漏洞分析,WEB安全,移动安全,IoT安全

上周关注度较高的产品安全漏洞(20260302-20260308)

原创

CNVD CNVD

CNVD漏洞平台

2026年3月9日 17:03 北京

一、境外厂商产品漏洞

1、WordPress插件Context Blog信息泄露漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件Context Blog存在信息泄露漏洞。该漏洞源于context_blog_modal_popup对可包含文章的限制不足，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12768

2、NVIDIA Merlin Transformers4Rec代码注入漏洞

NVIDIA Merlin Transformers4Rec是美国英伟达(NVIDIA)公司的一个用于构建序列化和会话式推荐系统的软件。NVIDIA Merlin Transformers4Rec存在代码注入漏洞，该漏洞源于不正确过滤输入参数，远程攻击者可利用该漏洞执行任意代码，提升权限等。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12367

3、WordPress插件Web Accessibility by accessiBe信息泄露漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件Web Accessibility by accessiBe存在信息泄露漏洞。该漏洞源于accessibe_render_js_in_footer函数将完整插件选项数组记录到公共页面的浏览器控制台，攻击者可利用该漏洞通过浏览器控制台查看敏感配置数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12770

4、Microsoft Hyper-V缓冲区溢出漏洞

Microsoft Hyper-V是美国微软（Microsoft）公司的一个应用程序。一种系统管理程序虚拟化技术，能够实现桌面虚拟化。Microsoft Hyper-V存在缓冲区溢出漏洞。该漏洞源于未能正确验证输入数据的长度大小，攻击者可利用该漏洞可以远程执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12556

5、Cisco NX-OS Software操作系统命令注入漏洞

Cisco NX-OS Software是美国思科（Cisco）公司的一套交换机使用的数据中心级操作系统软件。Cisco NX-OS Software存在操作系统命令注入漏洞，该漏洞源于用户输入验证不足，攻击者可利用该漏洞通过绕过Web身份验证，获得设备的管理访问权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12684

二、境内厂商产品漏洞

1、D-Link DWR-M960 formDdns文件缓冲区溢出漏洞

D-Link DWR-M960是中国友讯（D-Link）公司的一款路由器。D-Link DWR-M960 formDdns文件存在缓冲区溢出漏洞。该漏洞源于DDNS Settings Handler组件中文件/boafrm/formDdns的函数sub_4648F0对参数submit-url的错误操作，攻击者可利用该漏洞并在系统上执行任意代码，或导致应用程序崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12767

2、Huawei HarmonyOS HDC模块缓冲区溢出漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在缓冲区溢出漏洞，该漏洞源于HDC模块未能正确验证输入数据的长度大小，攻击者可利用该漏洞导致影响可用性。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12764

3、D-Link DIR-600命令注入漏洞

D-Link DIR-600是中国友讯（D-Link）公司的一款无线路由器。D-Link DIR-600 2.15WWb02及之前版本存在命令注入漏洞，该漏洞源于文件ssdp.cgi中参数HTTP_ST/REMOTE_ADDR/REMOTE_PORT/SERVER_ID未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12562

4、Huawei EMUI和Huawei HarmonyOS通信模块地址读取漏洞

Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI和Huawei HarmonyOS通信模块存在地址读取漏洞，攻击者可利用该漏洞导致可用性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12766

5、Huawei EMUI和Huawei HarmonyOS AMS模块权限控制类漏洞

Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI和Huawei HarmonyOS AMS模块存在权限控制类漏洞，攻击者可利用该漏洞导致可用性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12765

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260302-20260308)》