文章总结： 该文档是CNVD发布的2026年3月16日至22日产品安全漏洞周报，涵盖境外厂商5个漏洞（AdobeAEM跨站脚本、WordPress插件信息泄露、IBMConcert跨站脚本、Chrome整数溢出、IBMDb2资源管理错误）和境内厂商5个漏洞（华为HarmonyOS权限控制、熵基科技SQL注入、百胜软件信息泄露、飞致云SQL注入、华为EMUI校验不当）。漏洞类型包括跨站脚本、信息泄露、SQL注入、整数溢出等，建议相关用户及时关注并修复。 综合评分： 66 文章分类： 漏洞预警,漏洞分析,WEB安全,应用安全,网络安全

上周关注度较高的产品安全漏洞(20260316-20260322)

原创

CNVD CNVD

CNVD漏洞平台

2026年3月23日 18:00 北京

一、境外厂商产品漏洞

1、Adobe Experience Manager跨站脚本漏洞（CNVD-2026-13966）

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞，该漏洞产生的原因是AEM在处理用户输入时未对输入进行过滤与输出转义。攻击者可利用该漏洞执行任意JavaScript。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13966

2、WordPress插件Permalink Manager Lite信息泄露漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件Permalink Manager Lite存在信息泄露漏洞，该漏洞源于在发送数据中插入了敏感信息，攻击者可利用该漏洞导致检索嵌入的敏感数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-14146

3、IBM Concert跨站脚本漏洞（CNVD-2026-13788）

IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式AI来帮助管理复杂的云原生应用程序。IBM Concert存在跨站脚本漏洞，该漏洞源于对HOST标头的输入验证不当，攻击者可利用该漏洞可以通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13788

4、Google Chrome Skia整数溢出漏洞（CNVD-2026-13797）

Google Chrome是由谷歌公司开发的一款免费网页浏览器。Google Chrome Skia存在整数溢出漏洞，该漏洞源于整数值处理不当，远程攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13797

5、IBM Db2资源管理错误漏洞（CNVD-2026-13789）

IBM Db2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Db2存在资源管理错误漏洞，该漏洞源于经过身份验证的用户可利用资源分配不当，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13789

二、境内厂商产品漏洞

1、Huawei HarmonyOS备忘录模块权限控制漏洞（CNVD-2026-13996）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS备忘录模块存在权限控制漏洞，攻击者可利用该漏洞导致机密性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13996

2、厦门熵基科技有限公司人证魔方身份认证管理系统存在SQL注入漏洞

人证魔方身份认证管理系统是熵基科技为“人证合一”而自主研发的“实人制”核验软件系统，软件快速读取二代身份证、港澳居民居住证、外国人永居证等证件信息，现场比对持证人的指纹或面部，完成“人证合一”验证，快速、准确地核验用户身份信息。厦门熵基科技有限公司人证魔方身份认证管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-11369

3、上海百胜软件股份有限公司E3全渠道中台存在信息泄露漏洞

E3全渠道中台是一款面向中大型企业的全渠道新零售解决方案产品。上海百胜软件股份有限公司E3全渠道中台存在信息泄露漏洞，攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-11482

4、杭州飞致云信息科技有限公司SQLBot存在SQL注入漏洞

SQLBot是一款基于大模型和RAG的智能问数系统。杭州飞致云信息科技有限公司SQLBot存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-11363

5、Huawei EMUI和Huawei HarmonyOS电子邮件应用校验不当漏洞

Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI和Huawei HarmonyOS电子邮件应用存在校验不当漏洞，攻击者可利用该漏洞导致机密性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-13998

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260316-20260322)》