文章总结： CNVD发布2025-12-29至2026-01-04高关注漏洞清单，GoogleAndroid三连竞争条件、不安全默认设置与前置条件检查失败可被本地或远程提权，SiemensRUGGEDCOMROXII两处配置缺陷致命令注入可RCE，D-LinkDAP-2622、DIR-882/2640系列AP/路由器爆发硬编码凭据、堆栈溢出与命令注入等七漏洞均允许远程代码执行，用户应速打补丁或关闭Telnet/外网管理。 综合评分： 78 文章分类： 漏洞预警,IoT安全,移动安全,漏洞分析

上周关注度较高的产品安全漏洞(20251229-20260104)

原创

CNVD

CNVD漏洞平台

2026年1月5日 16:21 北京

一、境外厂商产品漏洞

1、Google Android竞争条件漏洞

Google Android是由Google公司主导开发的一种基于Linux内核的自由及开放源代码移动操作系统。Google Android存在竞争条件漏洞，攻击者可利用该漏洞导致绕过意图过滤器，本地权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31471

2、Google Android不安全默认设置漏洞

Google Android是由Google公司主导开发的一种基于Linux内核的自由及开放源代码移动操作系统。Google Android存在不安全默认设置漏洞，攻击者可利用该漏洞导致本地权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31470

3、Google Android前置条件检查失败漏洞

Google Android是由Google公司主导开发的一种基于Linux内核的自由及开放源代码移动操作系统。Google Android存在前置条件检查失败漏洞，攻击者可利用该漏洞导致远程权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31469

4、Siemens RUGGEDCOM ROX II命令注入漏洞（CNVD-2026-00016）

Siemens RUGGEDCOM ROX II是德国Siemens公司的一款面向工业应用的操作系统。Siemens RUGGEDCOM ROX II存在命令注入漏洞，该漏洞是由于在安装和加载某些配置文件期间验证不足造成的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00016

5、Siemens RUGGEDCOM ROX II命令注入漏洞

Siemens RUGGEDCOM ROX II是德国Siemens公司的一款面向工业应用的操作系统。Siemens RUGGEDCOM ROX II存在命令注入漏洞，该漏洞是由动态DNS配置过程中的缺陷引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00015

二、境内厂商产品漏洞

1、D-Link DAP-2622硬编码凭据身份验证绕过漏洞

D-Link DAP-2622是一款由友讯科技（D-Link）推出的无线接入点（AP），设计用于企业或商业环境的无线网络覆盖。D-Link DAP-2622存在硬编码凭据身份验证绕过漏洞，该漏洞源于Telnet命令行界面使用硬编码凭据身份验证绕过漏洞。目前没有详细的漏洞细节提供。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31559

2、D-Link DIR-882 sub_477AA0函数堆栈缓冲区溢出漏洞

D-Link DIR-882是一款家用无线路由器，支持最新的‌IEEE802.11acWAVE2‌无线技术。D-Link DIR-882存在堆栈缓冲区溢出漏洞，该漏洞源于sub_477AA0函数存在缓冲区溢出问题。目前没有详细的漏洞细节提供。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31568

3、D-Link DAP-2622命令注入远程代码执行漏洞

D-Link DAP-2622是一款由友讯科技（D-Link）推出的无线接入点（AP），设计用于企业或商业环境的无线网络覆盖。D-Link DAP-2622存在命令注入远程代码执行漏洞，该漏洞源于Telnet CLI命令注入远程代码执行漏洞。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31558

4、D-Link DIR-2640命令注入远程代码执行漏洞

D-Link DIR-2640是中国友讯（D-Link）公司生产的一款高功率Wi-Fi路由器，主要用于提供无线网络连接。D-Link DIR-2640存在命令注入远程代码执行漏洞，该漏洞源于PrefixLen命令注入远程代码执行漏洞。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31560

5、D-Link DIR-2640堆栈缓冲区溢出远程代码执行漏洞

D-Link DIR-2640是中国友讯（D-Link）公司生产的一款高功率Wi-Fi路由器，主要用于提供无线网络连接。D-Link DIR-2640存在堆栈缓冲区溢出远程代码执行漏洞，该漏洞源于prog.cgi请求处理基于堆栈的缓冲区溢出远程代码执行漏洞。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-31562

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD《上周关注度较高的产品安全漏洞(20251229-20260104)》