文章总结： 该文档是CNVD发布的2026年3月9日至15日关注度较高的产品安全漏洞周报。内容涵盖境外厂商如Adobe、Microsoft、Apache及Mozilla的远程代码执行、安全绕过等漏洞，以及境内厂商如TOTOLINK、D-Link、Tenda路由器的缓冲区溢出与命令注入漏洞。建议相关用户及时关注厂商补丁并进行修复。 综合评分： 63 文章分类： 漏洞预警,漏洞分析,IoT安全,应用安全

上周关注度较高的产品安全漏洞(20260309-20260315)

原创

CNVD CNVD

CNVD漏洞平台

2026年3月16日 17:40 北京

一、境外厂商产品漏洞

1、Adobe After Effects类型混淆漏洞

Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe After Effects存在类型混淆漏洞，攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12865

2、Microsoft Devices Pricing Program代码问题漏洞

Microsoft Devices Pricing Program是微软面向企业客户、合作伙伴或特定渠道提供的专属设备采购与定价机制，主要用于批量采购 Surface 系列设备（如 Surface Laptop、Surface Pro 等）时享受定制化价格、商务条款及支持服务。Microsoft Devices Pricing Program存在代码问题漏洞，该漏洞源于上传文件校验不当，远程攻击者可利用该漏洞上传恶意文件，执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-12902

3、Apache Superset安全绕过漏洞（CNVD-2026-13252）

Apache Superset是美国阿帕奇（Apache）基金会的一个数据可视化和数据探索平台。Apache Superset存在安全绕过漏洞，攻击者可利用该漏洞绕过数据访问控制。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13252

4、多款Mozilla产品安全绕过漏洞（CNVD-2026-13450）

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。多款Mozilla产品存在安全绕过漏洞，攻击者可利用该漏洞绕过安全限制。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13450

5、多款Mozilla产品权限提升漏洞（CNVD-2026-13449）

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。多款Mozilla产品存在权限提升漏洞，攻击者可利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13449

二、境内厂商产品漏洞

1、TOTOLINK A950RG缓冲区溢出漏洞

TOTOLINK A950RG是中国吉翁电子（TOTOLINK）公司的一款超世代Giga无线路由器。TOTOLINK A950RG存在缓冲区溢出漏洞，该漏洞源于setParentalRules接口对urlKeyword参数验证不足且未执行边界检查，攻击者可利用该漏洞导致拒绝服务或执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13227

2、TOTOLINK A950RG堆栈缓冲区溢出漏洞

TOTOLINK A950RG是中国吉翁电子（TOTOLINK）公司的一款超世代Giga无线路由器。TOTOLINK A950RG存在堆栈缓冲区溢出漏洞，该漏洞源于setIpQosRules接口对comment参数长度验证不足，攻击者可利用该漏洞导致栈缓冲区溢出。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13225

3、D-Link DIR-513 goform/formAdvFirewall文件缓冲区溢出漏洞

D-Link DIR-513是中国友讯（D-Link）公司的一款无线路由器产品。D-Link DIR-513 v1.10版本存在缓冲区溢出漏洞。该漏洞源于goform/formAdvFirewall组件未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13537

4、Tenda AC15 goform/formSetIptv文件命令注入漏洞

Tenda AC15是中国腾达（Tenda）公司的一款无线路由器。Tenda AC15V1.0 V15.03.05.18_multi版本存在命令注入漏洞。该漏洞源于goform/formSetIptv中未验证s1_1参数，攻击者可利用该漏洞导致命令注入。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13536

5、D-Link DIR-513 goform/formSetDomainFilter文件缓冲区溢出漏洞

D-Link DIR-513是中国友讯（D-Link）公司的一款无线路由器产品。D-Link DIR-513 goform/formSetDomainFilter文件存在缓冲区溢出漏洞，该漏洞源于文件goform/formSetDomainFilter中参数curTime未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13152

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260309-20260315)》