文章总结： CNVD发布2026年2月9日至22日关注度较高的产品安全漏洞周报，涵盖境外与境内厂商产品。境外漏洞包括RockwellAutomationArmorStartLT拒绝服务、IBMApplinX数据伪造、MicrosoftWindowsFileExplorer欺骗、WordPress插件WPFullCalendar信息泄露及GoogleAndroid权限提升。境内漏洞涉及华为HarmonyOS/EMUI媒体库权限验证绕过与克隆模块中间人攻击、D-LinkDNS-343命令执行与DI-8200G命令注入、腾达AX1803缓冲区溢出。报告提供了各漏洞的简要描述与参考链接，旨在提醒用户关注相关安全风险。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,网络安全,应用安全,IoT安全

上周关注度较高的产品安全漏洞(20260209-20260222)

原创

CNVD CNVD

CNVD漏洞平台

2026年2月24日 17:19 北京

一、境外厂商产品漏洞

1、Rockwell Automation ArmorStart LT拒绝服务漏洞（CNVD-2026-10849）

Rockwell Automation ArmorStart LT是美国罗克韦尔（Rockwell Automation）公司的一款分布式电机控制器。Rockwell Automation ArmorStart LT存在拒绝服务漏洞，该漏洞源于执行Achilles Comprehensive limited storm测试时设备意外重启，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10849

2、IBM ApplinX数据伪造问题漏洞

IBM ApplinX是美国国际商业机器（IBM）公司的一个专注于将绿屏界面转换为基于 Web 的现代应用程序。IBM ApplinX存在数据伪造问题漏洞，该漏洞源于JWT令牌验证不当，攻击者可利用该漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10660

3、Microsoft Windows File Explorer欺骗漏洞（CNVD-2026-10676）

Microsoft Windows File Explorer是美国微软（Microsoft）公司的一个文件管理器应用程序。Microsoft Windows File Explorer存在欺骗漏洞，该漏洞是由于敏感信息暴露给文件资源管理器中未经授权的参与者造成的。攻击者可利用该漏洞执行欺骗攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10676

4、WordPress插件WP FullCalendar信息泄露漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件WP FullCalendar存在信息泄露漏洞，该漏洞源于向未授权控制领域暴露敏感系统信息，攻击者可利用该漏洞导致检索嵌入的敏感数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10893

5、Google Android权限提升漏洞（CNVD-2026-10643）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在逻辑错误漏洞，该漏洞是由于多个函数中的代码逻辑错误引起的。攻击者可利用该漏洞导致本地权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10643

二、境内厂商产品漏洞

1、Huawei HarmonyOS和EMUI媒体库模块权限验证绕过漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI媒体库模块存在权限验证绕过漏洞，攻击者可利用该漏洞导致可用性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10872

2、D-Link DNS-343 ShareCenter命令执行漏洞

D-Link DNS-343 ShareCenter是中国友讯（D-Link）公司的一个网络存储设备。D-Link DNS-343 ShareCenter存在命令执行漏洞，该漏洞源于Mail Test功能中对输入验证不足，攻击者可利用该漏洞在系统上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10640

3、Tenda AX1803缓冲区溢出漏洞（CNVD-2026-10638）

Tenda AX1803是中国腾达（Tenda）公司的一款双频千兆WIFI6路由器。Tenda AX1803存在缓冲区溢出漏洞，该漏洞是由于/goform/WifiGuestSet文件的GetWifiGuestBasic函数的边界检查不正确造成的。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10638

4、D-Link DI-8200G命令注入漏洞

D-Link DI-8200G是中国友讯（D-Link）公司的一款企业级路由器。D-Link DI-8200G存在命令注入漏洞，该漏洞是由于在/upgrade_filter.asp文件的未知函数中操纵了路径参数造成的。攻击者可利用该漏洞在系统上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10639

5、Huawei HarmonyOS和EMUI克隆模块中间人攻击漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI克隆模块存在中间人攻击漏洞，攻击者可利用该漏洞导致机密性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10874

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260209-20260222)》