#zdi
11 articles
2026年4月18日至5月2日期间,ZCyberNews在zdi标签下发布了11篇文章,涵盖两个严重漏洞、八个高危漏洞及一个低危漏洞。其中最值得关注的CVE编号包括CVE-2026-41265(CVSS 9.8)、CVE-2026-22898与CVE-2026-6406(均为CVSS 8.8)、CVE-2026-41276(CVSS 8.1)及CVE-2026-25203(CVSS 7.8)。这些漏洞在全球范围内影响软件开发、技术、关键基础设施、数字标牌及能源等行业。
CRITICALFlowise RCE 漏洞 CVE-2026-41265 具有 CVSS 9.8
Flowise Airtable_Agent 中的 CVE-2026-41265 允许未经身份验证的远程代码执行,CVSS 评分为 9.8。ZDI 咨询详细说明了默认安装中的代码注入问题。
HIGHOracle VirtualBox 竞态条件允许攻击者提升权限
CVE-2026-35230: VirtualBox 的 SoundBlaster 16 模拟中存在竞态条件,允许具有高权限的本地攻击者提升权限。CVSS 7.5。
HIGHFlowise Auth Bypass CVE-2026-41276 允许攻击者重置密码
CVE-2026-41276(CVSS 8.1)在 Flowise AccountService resetPassword 中允许未经身份验证的攻击者绕过认证。ZDI 咨询警告无需认证。
HIGHFoxit PDF Reader CVE-2026-5943 利用后释放 RCE 漏洞被利用
CVE-2026-5943:Foxit PDF Reader 的 AcroForm 注释处理中存在利用后释放漏洞,允许未经身份验证的 RCE(CVSS 7.8)。需要用户打开恶意 PDF。
LOWFoxit PDF Reader 通过 AcroForm 签名泄露内存
CVE-2026-5942: Foxit PDF Reader 的 AcroForm 签名处理中的 use-after-free 允许攻击者读取进程内存。CVSS 3.3。用户必须打开恶意文件。
HIGHDocker Desktop ECI 漏洞 CVE-2026-6406 允许攻击者提升权限
CVE-2026-6406 (CVSS 8.8) 在 Docker Desktop 的增强容器隔离中,允许具有容器内低权限代码执行能力的本地攻击者提升权限...
HIGH西门子SINEC NMS认证绕过CVE-2026-24032获得7.3 CVSS
ZDI披露了CVE-2026-24032,这是一个7.3-CVSS认证绕过漏洞,存在于西门子SINEC NMS中,无需认证即可利用。影响工业网络管理系统。
HIGH三星MagicINFO 9服务器本地权限提升漏洞已修复
CVE-2026-25203,一个CVSS 7.8本地权限提升漏洞在三星MagicINFO 9服务器中,允许经过身份验证的攻击者通过利用服务上不正确的默认权限来获得SYSTEM权限。
HIGHAvast Premium Security 驱动漏洞使本地权限提升成为可能
CVE-2026-5424,Avast Premium Security 自我保护驱动中的一个缺陷,允许本地攻击者提升至SYSTEM权限。Zero Day Initiative 为这个漏洞分配了7.8的CVSS评分。
HIGHLinux Kernel ETS Scheduler 竞态条件漏洞使本地权限提升成为可能
Linux 内核的 ETS 调度器中存在一个竞态条件漏洞(CVE-2025-71066),允许本地攻击者将权限提升至 root,从 Zero Day Initiative 获得的 CVSS 评分为 7.5。
CRITICALQNAP TS-453E QVRPro 暴露方法使远程代码执行成为可能
QNAP TS-453E QVRPro 中存在一个关键漏洞(CVE-2026-22898),允许网络相邻的攻击者在未经认证的情况下执行任意代码,从 Zero Day Initiative 获得的 CVSS 评分为 8.8。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。