文章总结: 本周CNNVD采集安全漏洞1604个,接报漏洞5620个,漏洞数量有所上升。跨站脚本类漏洞占比最高达6.80%,WordPress基金会新增漏洞最多。通报了ApacheActiveMQ高危远程代码执行漏洞(CNNVD-202604-1392)等重大威胁,建议用户及时更新补丁。报告包含漏洞分布统计、危害等级分析及具体修复建议。 综合评分: 75 文章分类: 漏洞预警,漏洞分析,安全运营,解决方案,数据安全
信息安全漏洞周报(2026年第15期)
原创
CNNVD CNNVD
CNNVD安全动态
2026年4月15日 09:30 北京
在小说阅读器读本章
去阅读
点击蓝字 关注我们
漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周(2026年4月6日至2026年4月12日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1604个。
接报漏洞情况
本周CNNVD接报漏洞5620个,其中信息技术产品漏洞(通用型漏洞)611个,网络信息系统漏洞(事件型漏洞)12个,漏洞平台推送漏洞4997个。
重大漏洞通报
Apache ActiveMQ安全漏洞(CNNVD-202604-1392、CVE-2026-34197):成功利用漏洞的攻击者,可在目标系统远程执行代码。Apache ActiveMQ 多个版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一 公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1604个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有277个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到6.80%。新增漏洞中,超危漏洞92个,高危漏洞433个,中危漏洞1015个,低危漏洞64个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞1604个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有277个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
本周国内厂商漏洞139个,友讯公司漏洞数量最多,有41个。国内厂商漏洞整体修复率为12.95%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到6.80%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞92个,高危漏洞433个,中危漏洞1015个,低危漏洞64个。相应修复率分别为55.43%、63.97%、69.46%和76.56%。根据补丁信息统计,合计1082个漏洞已有修复补丁发布,整体修复率为67.46%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
- WordPress plugin Ninja Forms – File Uploads 代码问题漏洞(CNNVD-202604-1403)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin Ninja Forms – File Uploads是一个应用插件。
WordPress plugin Ninja Forms – File Uploads 3.3.26版本及之前版本存在代码问题漏洞,该漏洞源于NF_FU_AJAX_Controllers_Uploads::handle_upload函数缺少文件类型验证,攻击者利用该漏洞可以上传任意文件,从而远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://ninjaforms.com/extensions/file-uploads/
- Google Chrome 资源管理错误漏洞(CNNVD-202604-1457)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 147.0.7727.55之前版本存在资源管理错误漏洞,该漏洞源于内存释放后重用,攻击者利用该漏洞可以执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.google.com/chrome/
- Red Hat Quay 代码问题漏洞(CNNVD-202604-1607)
Red Hat Quay是美国红帽(Red Hat)公司的一款分布式容器镜像仓库,具有构建、分布和部署容器的功能。
Red Hat Quay存在代码问题漏洞,该漏洞源于数据存储格式允许被篡改,攻击者利用该漏洞可以在服务器上执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://access.redhat.com/security/cve/CVE-2026-32590
(五) 本周重要人工智能漏洞实例
本周重要人工智能漏洞实例如表5所示。
表5 本期重要人工智能漏洞实例
- LoLLMs 安全漏洞(CNNVD-202604-1398)
LoLLMs是一个大型语言与多模态系统。
lollms 2.1.0版本存在安全漏洞,该漏洞源于使用弱密钥签署JSON Web Tokens导致访问控制不当,攻击者利用该漏洞可以执行离线暴力破解以恢复密钥,进而伪造管理令牌并提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lollms.com/
- PraisonAI 代码问题漏洞(CNNVD-202604-1921)
PraisonAI是一个低代码多智能体协作框架。
PraisonAI 1.5.128之前版本存在代码问题漏洞,该漏洞源于web_crawl函数未对URL进行任何验证,攻击者利用该漏洞可以获取敏感信息。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/MervinPraison/PraisonAI/releases
- OpenClaw 安全漏洞(CNNVD-202604-1939)
OpenClaw是一个开源的智能人工助理。
OpenClaw 2026.3.22之前版本存在安全漏洞,该漏洞源于对权限的范围验证不足,攻击者利用该漏洞可以提升权限和远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/openclaw/openclaw/releases
二 漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞4997个。
表6 本周漏洞平台推送情况
三 接报漏洞情况
本周CNNVD接报漏洞623个,其中信息技术产品漏洞(通用型漏洞)611个,网络信息系统漏洞(事件型漏洞)12个。
表7 本周漏洞报送情况
四 收录漏洞通报情况
本周CNNVD收录漏洞通报222份。
表8 本周漏洞通报情况
五 重大漏洞通报
CNNVD关于Apache ActiveMQ安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Apache ActiveMQ安全漏洞(CNNVD-202604-1392、CVE-2026-34197)情况的报送。成功利用漏洞的攻击者,可在目标系统远程执行代码。Apache ActiveMQ 多个版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
1.漏洞介绍
Apache ActiveMQ是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ存在安全漏洞,该漏洞源于Jolokia JMX-HTTP的输入验证不当导致,攻击者可以通过 ActiveMQ 的 Jolokia API 调用管理操作,诱使代理服务器获取远程配置文件并执行任意系统命令。
2.危害影响
Apache ActiveMQ 5.19.4之前版本和6.0.0至6.2.3之前版本均受此漏洞影响。
3.修复建议
目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方更新链接:
https://activemq.apache.org/download.html
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CNNVD安全动态 CNNVD CNNVD《信息安全漏洞周报(2026年第15期)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论