文章总结： 上周（2026年3月23日至29日）CNVD披露了多个受关注的产品安全漏洞，涵盖境内外厂商。境外方面，Apple多款产品存在代码执行和信息泄露漏洞；IBMDb2、TRENDnet路由器及AdobeCommerce也各自存在拒绝服务、命令注入和授权问题等漏洞。境内方面，涉及华为、中兴等厂商，其中HuaweiHarmonyOS存在认证绕过和数据处理漏洞，ZTE的部分设备则存在配置缺陷和私钥泄露风险。 综合评分： 85 文章分类： 漏洞预警,网络安全,应用安全,移动安全,数据安全

上周关注度较高的产品安全漏洞(20260323-20260329)

原创

CNVD CNVD

CNVD漏洞平台

2026年3月30日 17:06 北京

一、境外厂商产品漏洞

1、多款Apple产品代码执行漏洞（CNVD-2026-14497）

Apple iOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple watchOS是一套智能手表操作系统。多款Apple产品存在代码执行漏洞，攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-14497

2、IBM Db2拒绝服务漏洞（CNVD-2026-14675）

IBM Db2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Db2存在拒绝服务漏洞，该漏洞源于数据查询逻辑中对特殊元素中和不当，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-14675

3、TRENDnet TEW-657BRM命令注入漏洞

TRENDnet TEW-657BRM是美国趋势网络（TRENDnet）公司的一个WiFi路由器。TRENDnet TEW-657BRM存在命令注入漏洞，该漏洞是由于setup.cgi二进制文件中的缺陷引起的。攻击者可以利用该漏洞在系统上执行任意操作系统命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-14684

4、Adobe Commerce授权问题漏洞（CNVD-2026-15170）

Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在授权问题漏洞，攻击者可利用该漏洞绕过安全措施并获取对功能的有限未授权访问。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15170

5、多款Apple产品信息泄露漏洞（CNVD-2026-14495）

Apple iOS是一套为移动设备所开发的操作系统。Apple macOS是一套专为Mac计算机所开发的专用操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。多款Apple产品存在信息泄露漏洞，该漏洞是由于访问特制网站时WebKit组件中的问题造成的。攻击者可利用该漏洞通过Safari扩展跟踪用户。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-14495

二、境内厂商产品漏洞

1、TOTOLINK WA300操作系统命令注入漏洞

TOTOLINK WA300是中国吉翁电子（TOTOLINK）公司的一款无线接入点。TOTOLINK WA300存在操作系统命令注入漏洞，该漏洞源于文件/cgi-bin/cstecgi.cgi中参数Ipaddr未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15249

2、ZTE MF258K Pro配置缺陷漏洞

ZTE MF258K Pro是中国中兴通讯（ZTE）公司的一款4G室外网桥套件。ZTE MF258K Pro存在配置缺陷漏洞，该漏洞源于目录权限设置不当，攻击者可利用该漏洞导致执行写入操作。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15251

3、Huawei HarmonyOS设备认证模块认证绕过漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS设备认证模块存在认证绕过漏洞，攻击者可利用该漏洞导致完整性和机密性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15248

4、ZTE ZXMP M721私钥泄露漏洞

ZTE ZXMP M721是中国中兴通讯（ZTE）公司的一款城域边缘OTN（光传送网）设备。ZTE ZXMP M721存在私钥泄露漏洞，该漏洞源于低权限用户可绕过授权检查查看设备通信私钥，攻击者可利用该漏洞导致密钥泄露并影响通信安全。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15252

5、Huawei HarmonyOS证书管理模块数据处理漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS证书管理模块存在数据处理漏洞，攻击者可利用该漏洞导致机密性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15250

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260323-20260329)》