文章总结： CNVD漏洞平台发布2026年5月18日至24日关注度较高的产品安全漏洞通报，涵盖ApacheOFBiz服务端请求伪造、AdobeColdFusion路径遍历、Linux内核权限提升等10个境外厂商漏洞，以及中兴、华为、合勤等境内厂商的权限提升、拒绝服务、信息泄露类漏洞。通报提供了每个漏洞的基本描述、风险影响和官方参考链接，建议用户及时关注厂商更新并采取防护措施。 综合评分： 78 文章分类： 漏洞预警,漏洞分析,安全运营,解决方案,威胁情报

上周关注度较高的产品安全漏洞(20260518-20260524)

原创

CNVD CNVD

CNVD漏洞平台

2026年5月25日 17:55 北京

在小说阅读器读本章

去阅读

一、境外厂商产品漏洞

1、Apache OFBiz Content组件服务端请求伪造漏洞

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz Content组件存在服务端请求伪造漏洞，目前没有详细的漏洞细节提供。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21174

2、Adobe ColdFusion路径遍历漏洞（CNVD-2026-20791）

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在路径遍历漏洞，攻击者可利用该漏洞绕过安全限制，访问预期范围之外的未授权文件或目录。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-20791

3、Apache CloudStack竞争条件问题漏洞

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache CloudStack存在竞争条件问题漏洞。该漏洞源于资源计数和增量逻辑中存在多个检查时间使用时间竞争条件以及缺少验证，攻击者可利用该漏洞导致用户超出分配限制，从而降低基础设施资源并导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-20428

4、Adobe Experience Manager跨站脚本漏洞（CNVD-2026-20790）

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞。该漏洞是由于对用户提供的输入验证不当造成的，攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-20790

5、Linux kernel Dirty Frag权限提升漏洞（CNVD-2026-21360）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel Dirty Frag存在权限提升漏洞，该漏洞源于rxrpc中DATA和RESPONSE数据包处理时未对分页片段进行分离，攻击者可利用该漏洞导致就地解密路径绑定外部分页片段。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21360

二、境内厂商产品漏洞

1、ZTE ZXCLOUD iRAI openssl.cnf权限提升漏洞

ZTE ZXCLOUD iRAI是一款云计算终端管理产品，主要提供虚拟桌面接入和远程管理功能。ZTE ZXCLOUD iRAI存在openssl.cnf权限提升漏洞，该漏洞源于程序对openssl.cnf文件的权限控制不当，攻击者可利用该漏洞在本地执行任意代码并提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21306

2、Huawei HarmonyOS拒绝服务漏洞（CNVD-2026-21278）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在拒绝服务漏洞，该漏洞源于内核模块存在数据校验错误，功能中断。攻击者可利用该漏洞导致WLAN断开。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21278

3、Zyxel NWA50AX PRO路径遍历漏洞

Zyxel NWA50AX PRO是中国合勤（Zyxel）公司的一款无线路由器。Zyxel NWA50AX PRO存在路径遍历漏洞，该漏洞源于file_upload-cgi CGI程序存在路径遍历，攻击者可利用该漏洞通过访问受限目录之外的位置，获取敏感文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21209

4、ZTE MU5250信息泄露漏洞

ZTE MU5250是一款中兴通讯推出的移动宽带设备，主要用于提供无线网络连接。ZTE MU5250存在信息泄露漏洞，该漏洞源于Web接口的权限控制不当，攻击者可利用该漏洞通过Web接口修改设备配置。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21268

5、Zyxel VMG8825-T50K缓冲区溢出漏洞（CNVD-2026-21210）

Zyxel VMG8825-T50K是中国合勤（Zyxel）公司的一款互联网接入设备。Zyxel VMG8825-T50K V5.50(ABOM.5)C0之前版本存在缓冲区溢出漏洞，该漏洞源于应用在处理不受信任的输入时出现边界错误，攻击者可利用该漏洞导致拒绝服务或执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2026-21210

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260518-20260524)》