文章总结： CNVD发布上周高关注度产品安全漏洞报告，涵盖OracleVMVirtualBox内存破坏、EndianFirewall跨站脚本、SiemensSDK路径遍历与命令执行、Chrome沙箱逃逸等境外漏洞，以及TOTOLINK/D-Link路由器缓冲区溢出、台达电机栈溢出等境内漏洞。报告指出攻击者可利用漏洞实现代码执行、权限提升或服务中断，建议用户及时关注厂商补丁更新。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,网络安全,应用安全,IoT安全

上周关注度较高的产品安全漏洞(20260420-20260426)

原创

CNVD CNVD

CNVD漏洞平台

2026年4月27日 21:27 北京

在小说阅读器读本章

去阅读

一、境外厂商产品漏洞

1、Oracle VM VirtualBox Core组件内存破坏漏洞（CNVD-2026-18426）

Oracle VM VirtualBox是一款由Oracle开发的桌面虚拟化软件，主要用于在主机操作系统上创建和运行虚拟机。Oracle VM VirtualBox存在内存破坏漏洞。该漏洞源于Core组件未能正确处理内存操作，攻击者可利用该漏洞通过本地高权限登录在基础设施上执行恶意代码，最终完全控制Oracle VM VirtualBox。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18426

2、Endian Firewall remark参数跨站脚本漏洞（CNVD-2026-18375）

Endian Firewall是Endian公司的一款网络安全防火墙系统。Endian Firewall remark参数存在跨站脚本漏洞，该漏洞源于对/manage/ipsec/中的remark参数处理不当，攻击者可利用该漏洞注入恶意脚本并在其他用户查看页面时执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18375

3、Siemens SICAM SIAPP SDK路径遍历漏洞

Siemens SICAM SIAPP SDK是德国Siemens公司的一个软件开发工具包。Siemens SICAM SIAPP SDK存在路径遍历漏洞，该漏洞源于执行文件删除时未正确验证文件路径或目标，攻击者可利用该漏洞导致拒绝服务或服务中断。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17889

4、Siemens SICAM SIAPP SDK命令执行漏洞

Siemens SICAM SIAPP SDK是德国Siemens公司的一个软件开发工具包。Siemens SICAM SIAPP SDK存在命令执行漏洞，攻击者可利用该漏洞导致命令注入和完全系统破解。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17888

5、Google Chrome on Windows未初始化使用漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome on Windows存在未初始化使用漏洞，攻击者可利用该漏洞通过特制HTML页面执行沙箱逃逸。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17822

二、境内厂商产品漏洞

1、TOTOLINK A3600R缓冲区溢出漏洞

TOTOLINK A3600R是中国吉翁电子（TOTOLINK）公司的一款6天线1200M无线路由器。TOTOLINK A3600R存在缓冲区溢出漏洞，该漏洞源于/lib/cste_modules/app.so库中setAppEasyWizardConfig函数的参数apcliSsid未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17701

2、D-Link DI-8003缓冲区溢出漏洞（CNVD-2026-17698）

D-Link DI-8003是中国友讯（D-Link）公司的一款无线路由器。D-Link DI-8003存在缓冲区溢出漏洞。该漏洞是由于user.asp脚本中的边界检查不正确造成的，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17698

3、D-Link DI-8003缓冲区溢出漏洞（CNVD-2026-17696）

D-Link DI-8003是中国友讯（D-Link）公司的一款无线路由器。D-Link DI-8003存在缓冲区溢出漏洞。该漏洞源于对/usb_paswd.asp端点中name参数处理不当，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-17696

4、Delta Electronics ASDA-Soft栈缓冲区溢出漏洞

Delta Electronics ASDA-Soft是中国台达电子（Delta Electronics）公司的一款交流伺服电机。Delta Electronics ASDA-Soft存在栈缓冲区溢出漏洞，该漏洞是由于在解析格式错误的.par文件时进行不正确边界检查造成的，攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18333

5、ToToLink A3300R cstecgi.cgi url参数命令注入漏洞

ToToLink A3300R是一款路由器产品，提供网络连接和数据传输功能。ToToLink A3300R存在命令注入漏洞，该漏洞源于未能正确验证/cgi-bin/cstecgi.cgi的url参数输入，攻击者可利用该漏洞通过发送特制请求执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18568

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260420-20260426)》