文章总结: 本期周报统计2026年4月27日至5月3日新增安全漏洞1096个,其中超危漏洞72个、高危漏洞340个,主要涉及注入类漏洞。重点通报Linux内核权限提升漏洞(CNNVD-202604-4496)及ApacheCamel、GoogleChrome等重大漏洞,提供官方修复链接。建议用户及时关注厂商补丁更新。 综合评分: 78 文章分类: 漏洞分析,漏洞预警,威胁情报,安全运营,其他
信息安全漏洞周报(2026年第18期)
原创
CNNVD CNNVD
CNNVD安全动态
2026年5月8日 17:13 北京
在小说阅读器读本章
去阅读
点击蓝字 关注我们
漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周(2026年4月27日至2026年5月3日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1096个。
接报漏洞情况
本周CNNVD接报漏洞2414个,其中信息技术产品漏洞(通用型漏洞)403个,网络信息系统漏洞(事件型漏洞)15个,漏洞平台推送漏洞1996个。
重大漏洞通报
Linux kernel安全漏洞(CNNVD-202604-4496、CVE-2026-31431):成功利用漏洞的攻击者,可在目标系统获取root权限。Linux kernel多个版本均受此漏洞影响。目前,Linux官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一 公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1096个,漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多,有157个;从漏洞类型来看,注入类的安全漏洞占比最大,达到8.49%。新增漏洞中,超危漏洞72个,高危漏洞340个,中危漏洞649个,低危漏洞35个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞1096个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,Linux基金会新增漏洞最多,有157个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
本周国内厂商漏洞133个,吉翁电子公司漏洞数量最多,有31个。国内厂商漏洞整体修复率为23.70%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,注入类的安全漏洞占比最大,达到8.49%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞72个,高危漏洞340个,中危漏洞649个,低危漏洞35个。相应修复率分别为38.89%、56.18%、72.27%和42.86%。根据补丁信息统计,合计703个漏洞已有修复补丁发布,整体修复率为64.14%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
- Apache Camel 安全漏洞(CNNVD-202604-5254)
Apache Camel是美国阿帕奇(Apache)基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式,简称EIP)的集成框架。
Apache Camel存在安全漏洞,该漏洞源于对部分属性修改不当,攻击者利用该漏洞可以远程执行任意操作系统命令。以下版本受到影响:4.14.0版本至4.14.5版本、4.18.0版本至4.18.1之前版本和4.19.0版本。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://camel.apache.org/download/
- Google Chrome 资源管理错误漏洞(CNNVD-202604-5327)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 147.0.7727.138之前版本存在资源管理错误漏洞,该漏洞源于内存释放后重用,攻击者利用该漏洞可以通过特制的HTML页面执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
- WordPress plugin Gravity Forms 跨站脚本漏洞(CNNVD-202605-320)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin Gravity Forms是一个应用插件。
WordPress plugin Gravity Forms 2.10.0版本及之前版本存在跨站脚本漏洞,该漏洞源于对Calculation Product字段产品名称的输入验证和输出转义不足,攻击者利用该漏洞可以通过表单注入任意Web脚本。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.wordfence.com/threat-intel/vulnerabilities/id/63973f61-81f0-4fc8-810c-a15734ff824e?source=cve
(五) 本周重要人工智能漏洞实例
本周重要人工智能漏洞实例如表5所示。
表5 本期重要人工智能漏洞实例
- OpenClaw 安全漏洞(CNNVD-202604-5410)
OpenClaw是一个开源的智能人工助理。
OpenClaw 2026.3.22之前版本存在安全漏洞,该漏洞源于引导设置代码在配对期间未绑定到预期的设备角色,攻击者利用该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://github.com/openclaw/openclaw/releases
- Ollama 路径遍历漏洞(CNNVD-202604-5679)
Ollama是一个开源的可以在本地设备上运行、管理和自定义大语言模型的工具。
Ollama 0.12.10版本至0.17.5版本存在路径遍历漏洞,该漏洞源于在构造本地文件路径时未验证路径安全性,攻击者利用该漏洞可以将文件写入任意位置。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://ollama.com/
- VMware Spring AI 代码注入漏洞(CNNVD-202604-5511)
VMware Spring AI是美国威睿(VMware)公司的一个在Spring生态中集成人工智能与大语言模型能力的开发框架。
VMware Spring AI 1.0.0版本至1.0.5版本和1.1.0版本至1.1.4版本存在代码注入漏洞,该漏洞源于键和值未正确转义,攻击者利用该漏洞可以篡改查询语句。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://spring.io/security/cve-2026-40967
二 漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞1996个。
表6 本周漏洞平台推送情况
三 接报漏洞情况
本周CNNVD接报漏洞418个,其中信息技术产品漏洞(通用型漏洞)403个,网络信息系统漏洞(事件型漏洞)15个。
表7 本周漏洞报送情况
四 收录漏洞通报情况
本周CNNVD收录漏洞通报186份。
表8 本周漏洞通报情况
五 重大漏洞通报
CNNVD关于Linux kernel安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel安全漏洞(CNNVD-202604-4496、CVE-2026-31431)情况的报送。成功利用漏洞的攻击者,可在目标系统获取root权限。Linux kernel多个版本均受此漏洞影响。目前,Linux官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
1.漏洞介绍
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。该漏洞源于内核加密子系统中的一处逻辑缺陷,攻击者可以利用AF_ALG加密接口与splice()系统调用的组合,向任意可读文件的页缓存写入受控的4字节数据,从而篡改setuid程序,获取系统root权限。目前该漏洞利用代码和技术细节已公开。
该漏洞于4月22日被国家信息安全漏洞库采集并收录。近期,该漏洞利用代码和技术细节被公开,影响范围迅速扩大,建议用户尽快采取修补措施。
2.危害影响
Ubuntu 24.04 LTS及以下版本、Amazon Linux 2023及以下版本、Red Hat Enterprise Linux 10及以下版本、Red Hat Enterprise Linux 9及以下版本、Red Hat Enterprise Linux 8及以下版本、SUSE 16及以下版本、Debian/Arch/Fedora/Rocky/Alma/Oracle等同期内核版本均受此漏洞影响。
3.修复建议
目前,Linux官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。参考链接:
https://www.kernel.org/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:CNNVD安全动态 CNNVD CNNVD《信息安全漏洞周报(2026年第18期)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论