上周关注度较高的产品安全漏洞(20260629-20260705)

admin 2026-07-09 06:36:15 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 上周(2026年6月29日至7月5日)关注度较高的产品安全漏洞公告由CNVD发布。境外厂商漏洞涉及GoogleChrome、OracleWebCenterSites、FortinetFortiSandbox、Mozilla产品及Linuxkernel,涵盖内存错误引用、权限控制、OS命令注入、逻辑错误及内存破坏等问题。境内厂商漏洞包括HuaweiHarmonyOS、D-LinkDIR-513及TendaW15E,存在路径遍历、缓冲区溢出及输入验证错误。建议用户及时关注并修复相关漏洞以保障系统安全。 综合评分: 71 文章分类: 漏洞分析,漏洞预警,网络安全,应用安全,终端安全


cover_image

上周关注度较高的产品安全漏洞(20260629-20260705)

原创

CNVD CNVD

CNVD漏洞平台

2026年7月6日 16:47 北京

在小说阅读器读本章

去阅读

一、境外厂商产品漏洞

1、Google Chrome Bluetooth内存错误引用漏洞

Google Chrome是一款由Google开发的跨平台网页浏览器,主要提供网页浏览、扩展支持及多平台同步功能。Google Chrome存在内存错误引用漏洞,该漏洞源于Bluetooth组件未能正确管理内存生命周期,攻击者可利用该漏洞通过恶意外设在受影响系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-25581

2、Oracle WebCenter Sites权限许可和访问控制问题漏洞

Oracle WebCenter Sites是Oracle Fusion Middleware中的一个内容管理系统组件,主要用于网站内容管理和发布。Oracle WebCenter Sites存在安全漏洞。该漏洞源于未能正确处理用户权限验证,攻击者可利用该漏洞通过HTTP入侵系统,导致完全接管Oracle WebCenter Sites,影响机密性、完整性和可用性。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-26210

3、Fortinet FortiSandbox OS命令注入漏洞(CNVD-2026-25587)

Fortinet  FortiSandbox存在OS命令注入漏洞。该漏洞源于未能正确中和OS命令中使用的特殊元素,攻击者可利用该漏洞通过特制的HTTP请求执行未授权命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-25587

4、多款Mozilla产品处理逻辑错误漏洞(CNVD-2026-26387)

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。多款Mozilla产品存在处理逻辑错误漏洞,攻击者可利用该漏洞导致沙箱逃逸。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-26387

5、Linux kernel内存破坏漏洞(CNVD-2026-26372)

Linux kernel是Linux操作系统的内核,负责管理系统资源、进程调度、文件系统等功能。Linux kernel存在内存破坏漏洞。该漏洞产生的原因是btrfs模块在写入未成功时提前释放脏页面IO树,导致extent buffer状态错误。攻击者可利用该漏洞通过触发特定文件系统操作导致内核内存破坏。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-26372

二、境内厂商产品漏洞

1、Huawei HarmonyOS SMS app路径遍历漏洞

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS SMS app存在路径遍历漏洞,攻击者可利用该漏洞影响系统可用性。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-26103

2、D-Link DIR-513堆栈缓冲区溢出漏洞(CNVD-2026-26092)

D-Link DIR-513是中国友讯(D-Link)公司的一款无线路由器产品。D-Link DIR-513存在堆栈缓冲区溢出漏洞,该漏洞源于formTcpipSetup函数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-26092

3、Huawei EMUI和Huawei HarmonyOS输入验证错误漏洞

Huawei HarmonyOS EMUI是华为公司开发的基于微内核的全场景分布式操作系统,提供跨设备无缝协同体验。Huawei EMUI和Huawei HarmonyOS存在输入验证错误漏洞。该漏洞源于log服务未能正确处理异常输入,攻击者可利用该漏洞导致服务不可用,影响系统可用性。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-26202

4、D-Link DIR-513堆栈缓冲区溢出漏洞(CNVD-2026-26094)

D-Link DIR-513是中国友讯(D-Link)公司的一款无线路由器产品。D-Link DIR-513存在堆栈缓冲区溢出漏洞,该漏洞源于goform/formDeviceReboot文件未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-26094

5、Tenda W15E formAddWebAuthWhiteUser函数webAuthWhiteUserInfo参数缓冲区溢出漏洞

Tenda W15E是中国腾达(Tenda)公司的一款无线路由器。Tenda W15E formAddWebAuthWhiteUser函数webAuthWhiteUserInfo参数存在缓冲区溢出漏洞,攻击者可利用该漏洞通过特制HTTP请求造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2026-25971

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:CNVD漏洞平台 CNVD CNVD《上周关注度较高的产品安全漏洞(20260629-20260705)》

每日安全动态推送(26/7/6) 网络安全文章

每日安全动态推送(26/7/6)

文章总结: 该文档为每日安全动态推送,聚焦AI基础设施面临的新兴威胁。核心内容包括:国家级攻击者将逻辑武器化战术迁移至AI算力资产;利用大语言模型幻觉的幽灵域名
评论:0   参与:  0