信息安全漏洞周报(2026年第28期)

admin 2026-07-16 04:36:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本周CNNVD采集安全漏洞1486个,整体修复率83.98%。重要漏洞包括ApacheIoTDB路径遍历、Samsung缓冲区错误、Dell命令注入等,厂商已发布补丁。AI相关漏洞涉及Cognee授权问题、FastGPT授权问题及Keras反序列化注入,需及时更新。 综合评分: 86 文章分类: 漏洞分析,漏洞预警,解决方案,AI安全,IoT安全


cover_image

信息安全漏洞周报(2026年第28期)

原创

CNNVD CNNVD

CNNVD安全动态

2026年7月15日 16:41 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周(2026年7月6日至2026年7月12日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞1486个。

接报漏洞情况

本周CNNVD接报漏洞1205个,其中信息技术产品漏洞(通用型漏洞)684个,网络信息系统漏洞(事件型漏洞)20个,漏洞平台推送漏洞501个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1486个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有156个;从漏洞类型来看,授权问题类的安全漏洞占比最大,达到19.78%。新增漏洞中,超危漏洞143个,高危漏洞545个,中危漏洞659个,低危漏洞139个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1486个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有156个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞54个,福昕公司漏洞数量最多,有23个。国内厂商漏洞整体修复率为62.96%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,授权问题类的安全漏洞占比最大,达到19.78%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞143个,高危漏洞545个,中危漏洞659个,低危漏洞139个。相应修复率分别为84.62%、83.85%、86.65%和71.22%。根据补丁信息统计,合计1248个漏洞已有修复补丁发布,整体修复率为83.98%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

  1. Apache IoTDB 路径遍历漏洞(CNNVD-2026-19147523)

Apache IoTDB是美国Apache基金会开源的一款物联网数据库。

Apache IoTDB 2.0.10之前版本存在路径遍历漏洞,该漏洞源于用户请求验证存在缺陷,攻击者利用该漏洞可以写入任意文件。

目前厂商已经发布升级补丁以修复此安全问题,补丁链接:

https://lists.apache.org/thread/zw2vkbmy5xkf5y8g237v81hrs4c6b5lq

  1. SAMSUNG Mobile devices 缓冲区错误漏洞(CNNVD-2026-49741199)

SAMSUNG Mobile devices是韩国SAMSUNG公司的一系列的三星移动设备,包括手机、平板等。

SAMSUNG Mobile devices SMR Jul-2026 Release 1之前版本存在缓冲区错误漏洞,该漏洞源于解析TIFF格式时存在越界写入内存的情况,攻击者利用该漏洞可以越界写入内存。

目前厂商已经发布升级补丁以修复此安全问题,补丁链接:

https://security.samsungmobile.com/securityUpdate.smsb?year=2026&month=07

  1. Dell PowerProtect Data Domain 命令注入漏洞(CNNVD-2026-25988377)

Dell powerprotect data domain是美国Dell公司的一套数据保护存储系统。

Dell PowerProtect Data Domain存在命令注入漏洞,该漏洞源于对OS命令中特殊元素的中和不当,攻击者利用该漏洞可以绕过保护机制,以root权限执行任意命令。

目前厂商已经发布升级补丁以修复此安全问题,补丁链接:

https://www.dell.com/support/kbdoc/en-us/000481268/dsa-2026-278-security-update-for-dell-powerprotect-data-domain-multiple-vulnerabilities

(五) 本周重要人工智能漏洞实例

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

  1. Topoteretes Cognee 授权问题漏洞(CNNVD-2026-97259589)

Topoteretes Cognee是Topoteretes公司开源的一个开源 AI 记忆平台,它赋予 AI 智能体跨会话的持久长期记忆。

Topoteretes Cognee 1.2.0之前版本存在授权问题漏洞,该漏洞源于访问控制不当,攻击者利用该漏洞可以窃取所有用户上传的文档、提取的实体和知识图谱内容。

目前厂商已经发布升级补丁以修复此安全问题,补丁链接:

https://github.com/topoteretes/cognee/releases/

  1. labring FastGPT 授权问题漏洞(CNNVD-2026-62814416)

labring FastGPT是labring公司开源的一款基于大语言模型的开源知识库问答系统。

labring FastGPT 4.15.0-beta5之前版本存在授权问题漏洞,该漏洞源于文件处理程序授权无关资源,并且没有检查密钥是否属于调用者的团队,攻击者利用该漏洞可以获取敏感信息。

目前厂商已经发布升级补丁以修复此安全问题,补丁链接:

https://github.com/labring/FastGPT/security/advisories/GHSA-6rxv-p43w-mmx5

  1. Keras 反序列化注入漏洞(CNNVD-2026-43508874)

Keras是Keras团队开源的一个多后端深度学习框架。

Keras 3.14.0版本存在反序列化注入漏洞,该漏洞源于对Lambda层反序列化处理不当,攻击者利用该漏洞可以执行代码。

目前厂商已经发布升级补丁以修复此安全问题,补丁链接:

https://github.com/keras-team/keras/releases

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞501个。

表6 本周漏洞平台推送情况

接报漏洞情况

本周CNNVD接报漏洞704个,其中信息技术产品漏洞(通用型漏洞)684个,网络信息系统漏洞(事件型漏洞)20个。

表7 本周漏洞报送情况

收录漏洞通报情况

本周CNNVD收录漏洞通报99份。

表8 本周漏洞通报情况


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:CNNVD安全动态 CNNVD CNNVD《信息安全漏洞周报(2026年第28期)》

评论:0   参与:  0