文章总结： CNVD发布2026年3月30日至4月5日关注度较高的产品安全漏洞汇总，涵盖境外厂商（GoogleChrome安全绕过/越界读取、Mozilla产品安全绕过、WordPress插件XSS、HCL文件上传）和境内厂商（台达电子缓冲区溢出、华为HarmonyOS未初始化指针、中兴权限管理/StrutsRCE、研华命令注入）共10个漏洞。主要结论为多个主流软件存在可导致代码执行或权限提升的高危漏洞，建议用户及时关注官方补丁更新。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,解决方案

上周关注度较高的产品安全漏洞(20260330-20260405)

原创

CNVD CNVD

CNVD漏洞平台

2026年4月7日 18:19 北京

一、境外厂商产品漏洞

1、Google Chrome安全绕过漏洞（CNVD-2026-15410）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome存在安全绕过漏洞，该漏洞是由于Extensions程序中的策略执行不足造成的。攻击者可利用该漏洞通过特制Chrome Extension进行UI欺骗。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15410

2、多款Mozilla产品安全绕过漏洞（CNVD-2026-15383）

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。多款Mozilla产品存在安全绕过漏洞，攻击者可利用该漏洞绕过安全限制。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15383

3、WordPress插件Abandoned Cart Recovery for WooCommerce跨站脚本漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。WordPress插件Abandoned Cart Recovery for WooCommerce存在跨站脚本漏洞，该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞可以通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15843

4、HCL Aftermarket DPC文件上传漏洞

HCL Aftermarket DPC是印度HCL公司的一个数字化备件与售后服务管理平台。HCL Aftermarket DPC存在文件上传漏洞，该漏洞源于应用未对用户上传文件进行严格校验或过滤不严，攻击者可利用该漏洞上传并执行恶意脚本，从而完全控制服务器。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15840

5、Google Chrome越界读取漏洞（CNVD-2026-15401）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome存在越界读取漏洞，攻击者可利用该漏洞导致通过特制HTML页面执行越界内存访问。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15401

二、境内厂商产品漏洞

1、Delta Electronics COMMGR2堆栈缓冲区溢出漏洞

Delta Electronics COMMGR2是中国台达电子（Delta Electronics）公司的一个自动化设备通信管理软件。Delta Electronics COMMGR2存在堆栈缓冲区溢出漏洞，该漏洞是由于不正确的边界检查引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15865

2、Huawei HarmonyOS扫描模块访问未初始化指针漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS扫描模块存在访问未初始化指针漏洞，攻击者可利用该漏洞导致可用性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15375

3、ZTE ElasticNet UME R32 on Linux权限管理不当漏洞

ZTE ElasticNet UME R32是中国中兴通讯（ZTE）公司的一个业务管理与流量处理平台。ZTE ElasticNet UME R32 on Linux存在权限管理不当漏洞，攻击者可利用该漏洞导致访问未受ACL适当约束的功能。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15861

4、Advantech WISE-6610操作系统命令注入漏洞

Advantech WISE-6610是中国台湾研华（Advantech）公司的一个核心网关设备。Advantech WISE-6610存在操作系统命令注入漏洞，该漏洞源于对文件/cgi-bin/luci/admin/openvpn_apply中参数delete_file的错误操作，攻击者可利用该漏洞在系统上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15863

5、ZTE ZXCDN Struts远程代码执行漏洞

ZTE ZXCDN是中国中兴通讯（ZTE）公司的一款统一网络管理平台。ZTE ZXCDN存在Struts远程代码执行漏洞，攻击者可利用该漏洞使用非root权限远程执行命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-15862

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260330-20260405)》