文章总结： 文档总结了2026年5月4日至10日CNVD公布的高关注度安全漏洞，涉及GoogleChrome、IBM、TOTOLINK、D-Link和华为等厂商产品，涵盖堆缓冲区溢出、命令注入、权限管理缺陷等类型。攻击者可通过恶意文件或页面执行任意代码、沙箱逃逸或权限提升。建议用户及时更新补丁以规避风险。 综合评分： 76 文章分类： 漏洞分析,漏洞预警,WEB安全,IoT安全,移动安全

上周关注度较高的产品安全漏洞(20260504-20260510)

原创

CNVD CNVD

CNVD漏洞平台

2026年5月11日 17:17 北京

在小说阅读器读本章

去阅读

一、境外厂商产品漏洞

1、Google Chrome PDFium堆缓冲区溢出漏洞

Google Chrome是一款由Google开发的网页浏览器，其内置的PDFium组件用于渲染PDF文档。Google Chrome的PDFium存在堆缓冲区溢出漏洞，该漏洞源于未能正确处理特制PDF文件中的某些数据，攻击者可利用该漏洞通过诱使用户打开恶意PDF文件在沙箱内执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19176

2、Google Chrome Media组件越界读取漏洞

Google Chrome是一款由Google开发的网页浏览器。Google Chrome的Media组件存在越界读取漏洞。该漏洞源于Media组件未能正确处理特定的UI手势，攻击者可利用该漏洞通过诱使用户访问恶意HTML页面来执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19174

3、Google Chrome Viz组件内存错误引用漏洞

Google Chrome是一款由Google开发的网页浏览器。Google Chrome的Viz组件存在内存错误引用漏洞。该漏洞源于Viz组件未能正确处理内存对象，攻击者可利用该漏洞通过诱使用户访问特制HTML页面，在已攻陷渲染器进程的基础上潜在地实现沙箱逃逸。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19173

4、IBM Langflow Desktop反序列化漏洞

IBM Langflow Desktop是美国国际商业机器（IBM）公司的一款AI流程编排桌面应用。IBM Langflow Desktop 1.8.2及之前版本存在反序列化漏洞。该漏洞源于不安全的默认设置允许反序列化不可信数据，攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19177

5、IBM DataPower Gateway跨站请求伪造漏洞（CNVD-2026-19180）

IBM DataPower Gateway是一款企业级应用安全网关，提供API管理和流量控制功能。IBM DataPower Gateway存在跨站请求伪造漏洞。该漏洞产生的原因是系统未能有效验证请求来源。攻击者可利用该漏洞通过诱导用户点击恶意链接执行未经授权的操作，对系统造成破坏。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19180

二、境内厂商产品漏洞

1、TOTOLINK A3300R stunPort参数命令注入漏洞

TOTOLINK A3300R是中国吉翁电子（TOTOLINK）公司的一款无线路由器。TOTOLINK A3300R stunPort参数存在命令注入漏洞，该漏洞源于/cgi-bin/cstecgi.cgi未能正确验证stunPort参数，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-18804

2、D-Link DIR-513堆栈缓冲区溢出漏洞（CNVD-2026-19424）

D-Link DIR-513是中国友讯（D-Link）公司的一款无线路由器产品。D-Link DIR-513存在堆栈缓冲区溢出漏洞该漏洞源于文件goform/formSetWANType_Wizard5中参数curTime未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19424

3、D-Link DI-8003缓冲区溢出漏洞（CNVD-2026-19420）

D-Link DI-8003是中国友讯（D-Link）公司的一款无线路由器。D-Link DI-8003存在缓冲区溢出漏洞，该漏洞是由于wan_line_detection.asp脚本中的边界检查不正确造成的，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19420

4、Huawei HarmonyOS多用户模块授权问题漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在授权问题漏洞，该漏洞源于多用户模块存在不当权限管理。攻击者可利用该漏洞导致机密性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19786

5、D-Link DIR-X3260栈溢出漏洞（CNVD-2026-19785）

D-Link DIR-X3260是中国友讯（D-Link）公司的一个无线路由器设备。D-Link DIR-X3260存在栈溢出漏洞，远程攻击者可利用该漏洞提交特殊的请求，可使应用程序崩溃或以应用程序上下文执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-19785

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260504-20260510)》