文章总结： CNVD通报2026年1月上旬高关注度产品安全漏洞，涉及AdobeAEM跨站脚本、WordPress插件信息泄露、华为HarmonyOS竞争条件及路由器连接劫持、D-Link设备信息泄露与命令注入等风险。建议相关用户及时关注厂商更新并修补漏洞，以防范潜在攻击。 综合评分： 55 文章分类： 漏洞预警,应用安全,网络安全

上周关注度较高的产品安全漏洞(20260105-20260111)

原创

CNVD

CNVD漏洞平台

2026年1月12日 16:37 北京

一、境外厂商产品漏洞

1、Adobe Experience Manager跨站脚本漏洞（CNVD-2026-00689）

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞，攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00689

2、WordPress插件Restaurant Menu by MotoPress信息泄露漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件Restaurant Menu by MotoPress存在信息泄露漏洞，攻击者可利用该漏洞检索嵌入的敏感数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00675

3、Adobe Experience Manager跨站脚本漏洞（CNVD-2026-00691）

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞，攻击者可利用该漏洞执行恶意JavaScript。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00691

4、WordPress插件Ultimate Member Widgets for Elementor信息泄露漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件Ultimate Member Widgets for Elementor存在信息泄露漏洞，该漏洞源于敏感信息插入发送数据，攻击者可利用该漏洞导致检索嵌入敏感数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00676

5、Adobe Experience Manager跨站脚本漏洞（CNVD-2026-00683）

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞，攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00683

二、境内厂商产品漏洞

1、Huawei HarmonyOS竞争条件漏洞（CNVD-2026-00632）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在竞争条件漏洞，攻击者可利用该漏洞导致机密性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00632

2、D-Link DIR-803信息泄露漏洞

D-Link DIR-803是中国友讯（D-Link）公司的一款无线路由器。D-Link DIR-803存在信息泄露漏洞，该漏洞源于组件Configuration Handler的文件/getcfg.php中参数AUTHORIZED_GROUP的错误操作，攻击者可利用该漏洞导致信息泄露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00656

3、Huawei TC7001-10、WS7200-10和WS7206-10连接劫持漏洞

Huawei TC7001-10、WS7200-10、WS7206-10都是中国华为（Huawei）公司推出的无线路由器。Huawei TC7001-10、WS7200-10和WS7206-10存在连接劫持漏洞，攻击者可利用该漏洞导致拒绝服务（DoS）或信息泄露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00643

4、D-Link DCS-930L命令注入漏洞

D-Link DCS-930L是中国友讯（D-Link）公司的一款网络摄像机。D-Link DCS-930L存在命令注入漏洞，该漏洞源于文件/setSystemAdmin中参数AdminID未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00665

5、Huawei HarmonyOS camera framework模块多线程条件竞争漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS camera framework模块存在多线程条件竞争漏洞，攻击者可利用该漏洞导致可用性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-00615

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD《上周关注度较高的产品安全漏洞(20260105-20260111)》