文章总结: 本周CNNVD采集安全漏洞1486个,整体修复率83.98%。重要漏洞包括ApacheIoTDB路径遍历、Samsung缓冲区错误、Dell命令注入等,厂商已发布补丁。AI相关漏洞涉及Cognee授权问题、FastGPT授权问题及Keras反序列化注入,需及时更新。 综合评分: 86 文章分类: 漏洞分析,漏洞预警,解决方案,AI安全,IoT安全
信息安全漏洞周报(2026年第28期)
原创
CNNVD CNNVD
CNNVD安全动态
2026年7月15日 16:41 北京
在小说阅读器读本章
去阅读
点击蓝字 关注我们
漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周(2026年7月6日至2026年7月12日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1486个。
接报漏洞情况
本周CNNVD接报漏洞1205个,其中信息技术产品漏洞(通用型漏洞)684个,网络信息系统漏洞(事件型漏洞)20个,漏洞平台推送漏洞501个。
一 公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1486个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有156个;从漏洞类型来看,授权问题类的安全漏洞占比最大,达到19.78%。新增漏洞中,超危漏洞143个,高危漏洞545个,中危漏洞659个,低危漏洞139个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞1486个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有156个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
本周国内厂商漏洞54个,福昕公司漏洞数量最多,有23个。国内厂商漏洞整体修复率为62.96%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,授权问题类的安全漏洞占比最大,达到19.78%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞143个,高危漏洞545个,中危漏洞659个,低危漏洞139个。相应修复率分别为84.62%、83.85%、86.65%和71.22%。根据补丁信息统计,合计1248个漏洞已有修复补丁发布,整体修复率为83.98%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
- Apache IoTDB 路径遍历漏洞(CNNVD-2026-19147523)
Apache IoTDB是美国Apache基金会开源的一款物联网数据库。
Apache IoTDB 2.0.10之前版本存在路径遍历漏洞,该漏洞源于用户请求验证存在缺陷,攻击者利用该漏洞可以写入任意文件。
目前厂商已经发布升级补丁以修复此安全问题,补丁链接:
https://lists.apache.org/thread/zw2vkbmy5xkf5y8g237v81hrs4c6b5lq
- SAMSUNG Mobile devices 缓冲区错误漏洞(CNNVD-2026-49741199)
SAMSUNG Mobile devices是韩国SAMSUNG公司的一系列的三星移动设备,包括手机、平板等。
SAMSUNG Mobile devices SMR Jul-2026 Release 1之前版本存在缓冲区错误漏洞,该漏洞源于解析TIFF格式时存在越界写入内存的情况,攻击者利用该漏洞可以越界写入内存。
目前厂商已经发布升级补丁以修复此安全问题,补丁链接:
https://security.samsungmobile.com/securityUpdate.smsb?year=2026&month=07
- Dell PowerProtect Data Domain 命令注入漏洞(CNNVD-2026-25988377)
Dell powerprotect data domain是美国Dell公司的一套数据保护存储系统。
Dell PowerProtect Data Domain存在命令注入漏洞,该漏洞源于对OS命令中特殊元素的中和不当,攻击者利用该漏洞可以绕过保护机制,以root权限执行任意命令。
目前厂商已经发布升级补丁以修复此安全问题,补丁链接:
https://www.dell.com/support/kbdoc/en-us/000481268/dsa-2026-278-security-update-for-dell-powerprotect-data-domain-multiple-vulnerabilities
(五) 本周重要人工智能漏洞实例
本周重要人工智能漏洞实例如表5所示。
表5 本期重要人工智能漏洞实例
- Topoteretes Cognee 授权问题漏洞(CNNVD-2026-97259589)
Topoteretes Cognee是Topoteretes公司开源的一个开源 AI 记忆平台,它赋予 AI 智能体跨会话的持久长期记忆。
Topoteretes Cognee 1.2.0之前版本存在授权问题漏洞,该漏洞源于访问控制不当,攻击者利用该漏洞可以窃取所有用户上传的文档、提取的实体和知识图谱内容。
目前厂商已经发布升级补丁以修复此安全问题,补丁链接:
https://github.com/topoteretes/cognee/releases/
- labring FastGPT 授权问题漏洞(CNNVD-2026-62814416)
labring FastGPT是labring公司开源的一款基于大语言模型的开源知识库问答系统。
labring FastGPT 4.15.0-beta5之前版本存在授权问题漏洞,该漏洞源于文件处理程序授权无关资源,并且没有检查密钥是否属于调用者的团队,攻击者利用该漏洞可以获取敏感信息。
目前厂商已经发布升级补丁以修复此安全问题,补丁链接:
https://github.com/labring/FastGPT/security/advisories/GHSA-6rxv-p43w-mmx5
- Keras 反序列化注入漏洞(CNNVD-2026-43508874)
Keras是Keras团队开源的一个多后端深度学习框架。
Keras 3.14.0版本存在反序列化注入漏洞,该漏洞源于对Lambda层反序列化处理不当,攻击者利用该漏洞可以执行代码。
目前厂商已经发布升级补丁以修复此安全问题,补丁链接:
https://github.com/keras-team/keras/releases
二 漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞501个。
表6 本周漏洞平台推送情况
三 接报漏洞情况
本周CNNVD接报漏洞704个,其中信息技术产品漏洞(通用型漏洞)684个,网络信息系统漏洞(事件型漏洞)20个。
表7 本周漏洞报送情况
四 收录漏洞通报情况
本周CNNVD收录漏洞通报99份。
表8 本周漏洞通报情况
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CNNVD安全动态 CNNVD CNNVD《信息安全漏洞周报(2026年第28期)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论