2026-03-03 06:52:30 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本期CNVD周报显示威胁评级为中，共收录漏洞875个，含高危漏洞491个及0day漏洞756个。重点通报了Microsoft、IBM、Google等多款产品的高危漏洞及D-LinkDI-8200G命令注入攻击验证情况。本周处置党政机关及企事业单位漏洞3958个，涉及腾讯、用友等众多厂商。建议用户及时更新补丁，关注厂商发布的安全通告，防范零日攻击风险。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,安全运营,威胁情报,漏洞POC

cover_image

CNVD漏洞周报2026年第6、7期

原创

CNVD CNVD

CNVD漏洞平台

2026年2月24日 17:19 北京

2026年02月09日-2026年02月22日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞875个，其中高危漏洞491个、中危漏洞361个、低危漏洞23个。漏洞平均分值为6.74。本周收录的漏洞中，涉及0day漏洞756个（占87%），其中互联网上出现“D-Link DI-8200G命令注入漏洞、D-Link DNS-343 ShareCenter命令执行漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数3958个，与上周（4648个）环比减少15%。

‍图1CNVD收录漏洞近10周平均分值分布图

图2CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件1起，向基础电信企业通报漏洞事件2起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件659起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件5起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件14起。

图3CNVD各行业漏洞处置情况按周统计

图4CNCERT各分中心处置情况按周统计

图5CNVD教育行业应急组织处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

北京金和网络股份有限公司、北京嘉和美康信息技术有限公司、北京海天瑞声科技股份有限公司、安科瑞电气股份有限公司、珠海环界云计算有限公司、智业软件股份有限公司、智汇方象（青岛）软件有限公司、郑州市金水区恒友摄影软件经营部、浙江大华技术股份有限公司、掌如科技（成都）有限公司、长沙市同迅计算机科技有限公司、长沙米拓信息技术有限公司、友讯电子设备（上海）有限公司、用友网络科技股份有限公司、永中软件股份有限公司、亿点云计算（珠海）有限公司、雅马哈乐器音响（中国）投资有限公司、新天科技股份有限公司、武汉中地数码科技有限公司、武汉三佳医疗信息技术有限公司、网是科技股份有限公司、万由数据科技（宁波）有限公司、通号通信信息集团有限公司、天津市网城天创科技有限责任公司、腾讯安全应急响应中心、施耐德电气（中国）有限公司、神州数码集团股份有限公司、深圳维盟科技股份有限公司、深圳市思迅软件股份有限公司、深圳市思泉软件有限公司、深圳市赛格导航科技股份有限公司、深圳市明源云科技有限公司、深圳市玛威尔显控科技有限公司、深圳市零一电子科技有限公司、深圳市蓝凌软件股份有限公司、深圳市科脉技术股份有限公司、深圳市吉祥腾达科技有限公司、深圳恒拓高科信息技术有限公司、上海卓卓网络科技有限公司、上海熙软科技有限公司、上海三高计算机中心股份有限公司、上海华测导航技术股份有限公司、上海百胜软件股份有限公司、熵基科技股份有限公司、山东博硕自动化技术有限公司、厦门天锐科技股份有限公司、厦门四信通信科技有限公司、厦门熵基科技有限公司、若依、青岛三利集团有限公司、青岛东胜伟业软件有限公司、麒麟软件有限公司、普联技术有限公司、宁波汇众信息科技有限公司、南京数旗科技有限公司、南京科远智慧科技集团股份有限公司、摩莎科技（上海）有限公司、领航未来（北京）科技有限公司、乐金电子（中国）有限公司、廊坊市极致网络科技有限公司、科大国创云网科技有限公司、佳能（中国）有限公司、济南瑞泉电子有限公司、吉翁电子（深圳）有限公司、华硕电脑（上海）有限公司、湖南众合百易信息技术有限公司、恒生电子股份有限公司、河北讯辉科技股份有限公司、河北先河环保科技股份有限公司、河北南昊高新技术开发有限公司、杭州云猿生数据有限公司、杭州新中大科技股份有限公司、杭州视网科技有限公司、杭州九麒科技有限公司、杭州海康威视数字技术股份有限公司、杭州飞致云信息科技有限公司、杭州短链网络技术有限公司、杭州玳数科技有限公司、国子软件股份有限公司、广州珠江啤酒股份有限公司、广州中海达卫星导航技术股份有限公司、广州易凯软件技术有限公司、广州市保伦电子有限公司、广东天宸网络科技有限公司、广东保伦电子股份有限公司、固德威技术股份有限公司、富士胶片(中国)投资有限公司、东莞市同享软件科技有限公司、东莞市通天星软件科技有限公司、鼎捷数智股份有限公司、成都朗速科技有限公司、成都飞鱼星科技股份有限公司、畅捷通信息技术股份有限公司、北京中庆现代技术股份有限公司、北京易普行科技有限公司、北京亿赛通科技发展有限责任公司、北京星网锐捷网络技术有限公司、北京威努特技术有限公司、北京神州视翰科技有限公司、北京趋势威尔网络技术有限公司、北京千方科技股份有限公司、北京派网软件有限公司、北京京东叁佰陆拾度电子商务有限公司和北京金万维科技有限公司。

本周漏洞报送情况统计

本周报送情况如表1所示。其中，北京启明星辰信息安全技术有限公司、新华三技术有限公司、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。成都久信信息技术股份有限公司、江苏云天网络安全技术有限公司、北京网御星云信息技术有限公司、江苏讯安信息安全技术有限公司、江苏力可信网络科技有限公司、360漏洞研究院、河南东方云盾信息技术有限公司及其他个人白帽子向CNVD提交了3958个以事件型漏洞为主的原创漏洞，其中包括斗象科技（漏洞盒子）、上海交大和奇安信网神（补天平台）向CNVD共享的白帽子报送3244条原创漏洞信息。

表1漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了875个漏洞。WEB应用534个，应用程序152个，网络设备（交换机、路由器等网络端设备）132个，操作系统28个，智能设备（物联网终端设备）16个，安全产品7个，数据库6个。

表2漏洞按影响类型统计表

图6本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及WordPress、Tenda、用友网络科技股份有限公司等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，CNVD收录了7个电信行业漏洞，8个移动互联网行业漏洞，11个工控行业漏洞（如下图所示）。其中，“Rockwell Automation ArmorStart LT拒绝服务漏洞、Rockwell Automation FactoryTalk View Machine Edition路径遍历漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图7电信行业漏洞统计

图8移动互联网行业漏洞统计

图9工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Microsoft产品安全漏洞

Microsoft Windows File Explorer是美国微软（Microsoft）公司的一个文件管理器应用程序。Microsoft Windows SMB Server是美国微软（Microsoft）公司的一个网络文件共享协议。它允许计算机上的应用程序读取和写入文件以及从计算机网络中的服务器程序请求服务。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得更高的权限，导致拒绝服务等。

CNVD收录的相关漏洞包括：Microsoft Windows File Explorer信息泄露漏洞（CNVD-2026-10675）、Microsoft Windows File Explorer欺骗漏洞（CNVD-2026-10676）、Microsoft Windows SMB Server权限提升漏洞（CNVD-2026-10677、CNVD-2026-10678、CNVD-2026-10679、CNVD-2026-10680、CNVD-2026-10681）、Microsoft Windows SMB Server拒绝服务漏洞。其中，除“Microsoft Windows File Explorer信息泄露漏洞（CNVD-2026-10675）、Microsoft Windows SMB Server拒绝服务漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10675

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10676

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10677

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10678

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10679

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10680

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10681

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10682

2、IBM产品安全漏洞

IBM ApplinX是美国国际商业机器（IBM）公司的一个专注于将绿屏界面转换为基于Web的现代应用程序。IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式AI来帮助管理复杂的云原生应用程序。IBM Aspera Console是美国国际商业机器（IBM）公司的一个基于Web的应用程序。允许用户集中管理、监控和控制Aspera服务器（节点）和传输。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，导致恶意文件上传等。

CNVD收录的相关漏洞包括：IBM ApplinX信息泄露漏洞（CNVD-2026-10653）、IBM ApplinX跨站脚本漏洞、IBM ApplinX跨站请求伪造漏洞（CNVD-2026-10656）、IBM ApplinX数据伪造问题漏洞、IBM Concert信息泄露漏洞（CNVD-2026-10661、CNVD-2026-10662）、IBM Concert代码问题漏洞、IBM Aspera Console日志信息泄露漏洞。其中，“IBM ApplinX数据伪造问题漏洞、IBM Concert代码问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10653

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10655

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10656

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10660

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10661

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10662

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10663

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10664

3、Rockwell Automation产品安全漏洞

Rockwell Automation FactoryTalk View Machine Edition是美国罗克韦尔（Rockwell Automation）公司的一款多功能人机界面应用程序。Rockwell Automation ArmorStart LT是美国罗克韦尔（Rockwell Automation）公司的一款分布式电机控制器。Rockwell Automation CompactLogix 5370是美国罗克韦尔（Rockwell Automation）公司的一款可编程逻辑控制器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞删除面板操作系统中的任何文件，导致拒绝服务等。

CNVD收录的相关漏洞包括：Rockwell Automation FactoryTalk View Machine Edition路径遍历漏洞、Rockwell Automation ArmorStart LT拒绝服务漏洞（CNVD-2026-10848、CNVD-2026-10849、CNVD-2026-10850、CNVD-2026-10851、CNVD-2026-10852、CNVD-2026-10854）、Rockwell Automation CompactLogix 5370拒绝服务漏洞。其中，除“Rockwell Automation CompactLogix 5370拒绝服务漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10846

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10848

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10849

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10850

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10851

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10852

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10854

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10855

4、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Go是美国谷歌（Google）公司的一种静态强类型、编译型、并发型，并具有垃圾回收功能的编程语言。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2026-10642、CNVD-2026-10643、CNVD-2026-10644）、Google Android信息泄露漏洞（CNVD-2026-10641、CNVD-2026-10645）、Google Go拒绝服务漏洞（CNVD-2026-10647、CNVD-2026-10649）、Google Chrome代码执行漏洞（CNVD-2026-10652）。其中，“Google Chrome信息泄露漏洞（CNVD-2026-10645）、Google Go拒绝服务漏洞（CNVD-2026-10647、CNVD-2026-10649）、Google Chrome代码执行漏洞（CNVD-2026-10652）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10642

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10641

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10643

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10644

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10645

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10647

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10649

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10652

5、Tenda AX1803缓冲区溢出漏洞（CNVD-2026-10638）

Tenda AX1803是中国腾达（Tenda）公司的一款双频千兆WIFI6路由器。本周，Tenda AX1803被披露存在缓冲区溢出漏洞，该漏洞是由于/goform/WifiGuestSet文件的GetWifiGuestBasic函数的边界检查不正确造成的。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10638

小结：本周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得更高的权限，导致拒绝服务等。此外，IBM、Rockwell Automation、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务等。另外，Tenda AX1803被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

本周重要漏洞攻击验证情况

本周，CNVD建议注意防范以下已公开漏洞攻击验证情况。

1、D-Link DI-8200G命令注入漏洞

验证描述

D-Link DI-8200G是中国友讯（D-Link）公司的一款企业级路由器。

D-Link DI-8200G存在命令注入漏洞，该漏洞是由于在/upgrade_filter.asp文件的未知函数中操纵了路径参数造成的。攻击者可利用该漏洞在系统上执行任意命令。

验证信息

POC链接：

https://github.com/DavCloudz/cve/blob/main/D-link/DI_8200G/DI_8200G%20V17.12.20A1%20Command%20Execution%20Vulnerability/readme.md

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-10639

信息提供者

新华三技术有限公司

注：以上验证信息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关补丁。

关于CNVD

国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase，简称CNVD）是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库，致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

关于CNCERT

国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国计算机网络应急处理体系中的牵头单位。

作为国家级应急中心，CNCERT的主要职责是：按照“积极预防、及时发现、快速响应、力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，维护国家公共互联网安全，保障基础信息网络和重要信息系统的安全运行。

网址：www.cert.org.cn

邮箱：[email protected]

电话：010-82991537

关注CNVD漏洞平台

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《CNVD漏洞周报2026年第6、7期》