近期，国家信息安全漏洞库（CNNVD）开展了2026年度（第一期）漏洞奖励评选工作，其中18个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用，获奖名单如下。

      近期，国家信息安全漏洞库（CNNVD）开展了2026年度（第一期）漏洞奖励评选工作，其中18个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用，获奖名单如下。

特此公告

国家信息安全漏洞库（CNNVD）

 2026年5月15日

跳转微信打开

根据《CNNVD技术支撑单位合作计划指南》，确定华为技术有限公司、奇安信网神信息技术（北京）股份有限公司等11家单位为新一期国家信息安全漏洞库核心技术支撑单位，有效期至2027年5月12日。

      根据《CNNVD技术支撑单位合作计划指南》，确定华为技术有限公司、奇安信网神信息技术（北京）股份有限公司等11家单位为新一期国家信息安全漏洞库核心技术支撑单位，有效期至2027年5月12日。

特此公告

国家信息安全漏洞库（CNNVD）

 2026年5月15日

跳转微信打开

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞125个，影响到微软产品的其他厂商漏洞17个。

2026年5月12日，微软发布了2026年5月份安全更新，共142个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows、Microsoft Windows Ancillary Function Driver for WinSock、Microsoft Azure SDK、Microsoft Azure Monitor Agent、Microsoft Windows Print Spooler Components、Microsoft Windows SMB Client等。CNNVD对其危害等级进行了评价，其中超危漏洞5个，高危漏洞42个，中危漏洞94个，低危漏洞1个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问微软官方网站查询：

https://portal.msrc.microsoft.com/zh-cn/security-guidance

此次更新共142个漏洞的补丁程序，包括123个新增漏洞的补丁程序、2个更新漏洞的补丁程序和17个影响微软产品的其他厂商漏洞的补丁程序。

此次更新共包括123个新增漏洞的补丁程序，其中超危漏洞4个，高危漏洞36个，中危漏洞83个。

此次更新共包括2个更新漏洞的补丁程序，其中高危漏洞1个，中危漏洞1个。

此次更新共包括17个影响微软产品的其他厂商漏洞的补丁程序，其中超危漏洞1个，高危漏洞5个，中危漏洞10个，低危漏洞1个。

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方补丁下载地址：

https://msrc.microsoft.com/update-guide/en-us

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年5月4日至2026年5月10日）安全漏洞情况如下

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1657个，漏洞新增数量有所上升。从厂商分布来看Linux基金会新增漏洞最多，有439个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到7.06%。新增漏洞中，超危漏洞117个，高危漏洞404个，中危漏洞1084个，低危漏洞52个。

本周CNNVD采集安全漏洞1657个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，Linux基金会新增漏洞最多，有439个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞81个，友讯公司漏洞数量最多，有11个。国内厂商漏洞整体修复率为53.41%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到7.06%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

本周共发布超危漏洞117个，高危漏洞404个，中危漏洞1084个，低危漏洞52个。相应修复率分别为75.21%、85.64%、85.98%和67.31%。根据补丁信息统计，合计1401个漏洞已有修复补丁发布，整体修复率为84.55%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. Apache CloudStack 信息泄露漏洞（CNNVD-202605-1783）

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台，该平台主要用于部署和管理大型虚拟机网络。

Apache CloudStack 4.21.0.0版本至4.22.0.0版本存在信息泄露漏洞，该漏洞源于没有限制或验证用户身份，攻击者利用该漏洞可以完全控制其他用户的虚拟机，包括启动、停止和销毁虚拟机。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://cloudstack.apache.org/downloads/

2. Google Chrome 资源管理错误漏洞（CNNVD-202605-786）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 148.0.7778.96之前版本存在资源管理错误漏洞，该漏洞源于内存释放后重用，攻击者利用该漏洞可以通过特制的HTML页面在沙盒内执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.google.com/chrome/

3. WordPress plugin WP-Optimize 路径遍历漏洞（CNNVD-202605-1406）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin WP-Optimize是一个应用插件。

WordPress plugin WP-Optimize 4.5.2版本及之前版本存在路径遍历漏洞，该漏洞源于对文件路径验证不足，攻击者利用该漏洞可以删除服务器上的任意文件，进而远程执行代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/wp-optimize/

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

1. OpenClaw 数据伪造问题漏洞（CNNVD-202605-682）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.4.10之前版本存在数据伪造问题漏洞，该漏洞源于对用户的输入验证不足，攻击者利用该漏洞可以篡改数据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. n8n 安全漏洞（CNNVD-202605-405）

n8n是一个开源的可扩展的工作流自动化工具。

n8n存在安全漏洞，该漏洞源于端点允许接受未经身份验证的请求且未对客户端数据进行充分的资源控制，攻击者利用该漏洞可以通过发送大型注册有效载荷耗尽服务器内存资源，导致n8n程序崩溃。1.123.32之前版本、2.17.4之前版本和2.18.1之前版本受漏洞影响。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/n8n-io/n8n/releases

3. PraisonAI 输入验证错误漏洞（CNNVD-202605-1688）

PraisonAI是一个低代码多智能体协作框架。

PraisonAI 4.6.34之前版本存在输入验证错误漏洞，该漏洞源于MCP服务器中文件处理工具未对路径进行检查，攻击者利用该漏洞可以写入任意文件，并可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/MervinPraison/PraisonAI/releases

本周CNNVD接收漏洞平台推送漏洞3756个。

表6 本周漏洞平台推送情况

本周CNNVD接报漏洞532个，其中信息技术产品漏洞（通用型漏洞）430个，网络信息系统漏洞（事件型漏洞）102个。

表7 本周漏洞报送情况

本周CNNVD收录漏洞通报221份。

表8 本周漏洞通报情况

CNNVD关于Palo Alto Networks PAN-OS安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Palo Alto Networks PAN-OS安全漏洞（CNNVD-202605-940、CVE-2026-0300）情况的报送。攻击者可通过向目标防火墙发送特制的数据包，触发缓冲区溢出，从而在目标设备上执行任意代码。PAN-OS多个版本均受此漏洞影响。目前，Palo Alto Networks官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

1.漏洞介绍

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。该漏洞源于 User-ID Authentication Portal 服务在处理特定数据包时的边界检查不足。未经身份认证的攻击者可通过向目标防火墙的User-ID Authentication Portal服务发送特制的数据包，触发缓冲区溢出，从而在目标设备上以 root 权限执行任意代码。

2.危害影响

PAN-OS 12.1 < 12.1.4-h5、PAN-OS 12.1 < 12.1.7、PAN-OS 11.2 < 11.2.4-h17、PAN-OS 11.2 < 11.2.7-h13、PAN-OS 11.2 < 11.2.10-h6、PAN-OS 11.2 < 11.2.12、PAN-OS 11.1 < 11.1.4-h33、PAN-OS 11.1 < 11.1.6-h32、PAN-OS 11.1 < 11.1.7-h6、PAN-OS 11.1 < 11.1.10-h25、PAN-OS 11.1 < 11.1.13-h5、PAN-OS 11.1 < 11.1.15、PAN-OS 10.2 < 10.2.7-h34、PAN-OS 10.2 < 10.2.10-h36、PAN-OS 10.2 < 10.2.13-h21、PAN-OS 10.2 < 10.2.16-h7、PAN-OS 10.2 < 10.2.18-h6等版本均受此漏洞影响。

3.修复建议

目前，Palo Alto Networks官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方参考链接：

https://security.paloaltonetworks.com/CVE-2026-0300

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，2026年4月采集漏洞5645个。

根据国家信息安全漏洞库（CNNVD）统计，2026年4月新增漏洞5645个，受影响厂商方面，WordPress漏洞数量最多，533个；漏洞类型方面，跨站脚本漏洞占比最大，高达6.31%；危害等级方面，超危漏洞401个、高危漏洞1757个、中危漏洞3225个、低危漏洞262个，相应修复率分别为66.09%、71.09%、72.10%以及61.07%。已发布补丁漏洞3999个，本月整体修复率70.85%。

2026年4月新增漏洞5645个，环比减少 -9.5%。近6个月新增漏洞数量统计如图1，平均每月漏洞数量4883个。

图1  2025年11月至2026年4月新增漏洞数量统计图

1.2.1 受影响厂商分布

2026年4月受影响厂商漏洞数量分布情况如表1，WordPress漏洞533个，占本月漏洞总量9.44%。

表1  2026年4月新增漏洞排名前十受影响厂商统计列表

1.2.2 漏洞类型分布

2026年4月漏洞类型分布情况如表2，其中跨站脚本类漏洞占比最大，为6.31%。

表2  2026年4月漏洞类型统计列表

1.2.3 漏洞危害等级分布

根据漏洞影响范围、利用方式、攻击效果等情况，从高到低分为四个等级：超危、高危、中危和低危。2026年4月漏洞危害等级分布情况如图2，其中超危漏洞401个，占本月漏洞总量7.10%。

图2  2026年4月漏洞危害等级分布图

1.3.1 整体修复情况

2026年4月危害等级修复情况如图3，低危漏洞修复率最高，为72.10%，超危漏洞修复率最低，为61.07%。本月整体修复率环比下降，为70.85%。

图3  2026年4月漏洞危害等级修复统计图

1.3.2 厂商修复情况

2026年4月新增漏洞数量排名前十受影响厂商修复情况如表3，合计1887个漏洞，占本月漏洞总量33.43%，平均修复率为67.92%。

表3  2026年4月受影响厂商漏洞修复统计列表

2026年4月接报漏洞2974个，其中信息技术产品漏洞（通用型漏洞）2870个，网络信息系统漏洞（事件型漏洞）104个，统计详情如表4。

表4  2026年4月接报漏洞统计列表

2026年4月接报通报1251个，统计详情如表5。

表5  2026年4月接报通报统计列表

表6  2026年4月重要漏洞列表

2026年4月漏洞平台推送漏洞17974个，平台推送详情如表7。

表7  2026年4月漏洞平台推送情况列表

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年4月27日至2026年5月3日）安全漏洞情况如下

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1096个，漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多，有157个；从漏洞类型来看，注入类的安全漏洞占比最大，达到8.49%。新增漏洞中，超危漏洞72个，高危漏洞340个，中危漏洞649个，低危漏洞35个。

本周CNNVD采集安全漏洞1096个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，Linux基金会新增漏洞最多，有157个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞133个，吉翁电子公司漏洞数量最多，有31个。国内厂商漏洞整体修复率为23.70%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，注入类的安全漏洞占比最大，达到8.49%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

本周共发布超危漏洞72个，高危漏洞340个，中危漏洞649个，低危漏洞35个。相应修复率分别为38.89%、56.18%、72.27%和42.86%。根据补丁信息统计，合计703个漏洞已有修复补丁发布，整体修复率为64.14%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. Apache Camel 安全漏洞（CNNVD-202604-5254）

Apache Camel是美国阿帕奇（Apache）基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式，简称EIP)的集成框架。

Apache Camel存在安全漏洞，该漏洞源于对部分属性修改不当，攻击者利用该漏洞可以远程执行任意操作系统命令。以下版本受到影响：4.14.0版本至4.14.5版本、4.18.0版本至4.18.1之前版本和4.19.0版本。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://camel.apache.org/download/

2. Google Chrome 资源管理错误漏洞（CNNVD-202604-5327）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 147.0.7727.138之前版本存在资源管理错误漏洞，该漏洞源于内存释放后重用，攻击者利用该漏洞可以通过特制的HTML页面执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html

3. WordPress plugin Gravity Forms 跨站脚本漏洞（CNNVD-202605-320）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin Gravity Forms是一个应用插件。

WordPress plugin Gravity Forms 2.10.0版本及之前版本存在跨站脚本漏洞，该漏洞源于对Calculation Product字段产品名称的输入验证和输出转义不足，攻击者利用该漏洞可以通过表单注入任意Web脚本。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.wordfence.com/threat-intel/vulnerabilities/id/63973f61-81f0-4fc8-810c-a15734ff824e?source=cve

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

1. OpenClaw 安全漏洞（CNNVD-202604-5410）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.3.22之前版本存在安全漏洞，该漏洞源于引导设置代码在配对期间未绑定到预期的设备角色，攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. Ollama 路径遍历漏洞（CNNVD-202604-5679）

Ollama是一个开源的可以在本地设备上运行、管理和自定义大语言模型的工具。

Ollama 0.12.10版本至0.17.5版本存在路径遍历漏洞，该漏洞源于在构造本地文件路径时未验证路径安全性，攻击者利用该漏洞可以将文件写入任意位置。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://ollama.com/

3. VMware Spring AI 代码注入漏洞（CNNVD-202604-5511）

VMware Spring AI是美国威睿（VMware）公司的一个在Spring生态中集成人工智能与大语言模型能力的开发框架。

VMware Spring AI 1.0.0版本至1.0.5版本和1.1.0版本至1.1.4版本存在代码注入漏洞，该漏洞源于键和值未正确转义，攻击者利用该漏洞可以篡改查询语句。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://spring.io/security/cve-2026-40967

本周CNNVD接收漏洞平台推送漏洞1996个。

表6 本周漏洞平台推送情况

本周CNNVD接报漏洞418个，其中信息技术产品漏洞（通用型漏洞）403个，网络信息系统漏洞（事件型漏洞）15个。

表7 本周漏洞报送情况

本周CNNVD收录漏洞通报186份。

表8 本周漏洞通报情况

CNNVD关于Linux kernel安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Linux kernel安全漏洞（CNNVD-202604-4496、CVE-2026-31431）情况的报送。成功利用漏洞的攻击者，可在目标系统获取root权限。Linux kernel多个版本均受此漏洞影响。目前，Linux官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

1.漏洞介绍

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。该漏洞源于内核加密子系统中的一处逻辑缺陷，攻击者可以利用AF_ALG加密接口与splice()系统调用的组合，向任意可读文件的页缓存写入受控的4字节数据，从而篡改setuid程序，获取系统root权限。目前该漏洞利用代码和技术细节已公开。

该漏洞于4月22日被国家信息安全漏洞库采集并收录。近期，该漏洞利用代码和技术细节被公开，影响范围迅速扩大，建议用户尽快采取修补措施。

2.危害影响

Ubuntu 24.04 LTS及以下版本、Amazon Linux 2023及以下版本、Red Hat Enterprise Linux 10及以下版本、Red Hat Enterprise Linux 9及以下版本、Red Hat Enterprise Linux 8及以下版本、SUSE 16及以下版本、Debian/Arch/Fedora/Rocky/Alma/Oracle等同期内核版本均受此漏洞影响。

3.修复建议

目前，Linux官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。参考链接：

https://www.kernel.org/

跳转微信打开

近日，国家信息安全漏洞库（CNNVD）收到关于Palo Alto Networks PAN-OS安全漏洞（CNNVD-202605-766、CVE-2026-0300）情况的报送。

Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。该漏洞源于 User-ID Authentication Portal 服务在处理特定数据包时的边界检查不足。未经身份认证的攻击者可通过向目标防火墙的User-ID Authentication Portal服务发送特制的数据包，触发缓冲区溢出，从而在目标设备上以 root 权限执行任意代码。

PAN-OS 12.1 < 12.1.4-h5、PAN-OS 12.1 < 12.1.7、PAN-OS 11.2 < 11.2.4-h17、PAN-OS 11.2 < 11.2.7-h13、PAN-OS 11.2 < 11.2.10-h6、PAN-OS 11.2 < 11.2.12、PAN-OS 11.1 < 11.1.4-h33、PAN-OS 11.1 < 11.1.6-h32、PAN-OS 11.1 < 11.1.7-h6、PAN-OS 11.1 < 11.1.10-h25、PAN-OS 11.1 < 11.1.13-h5、PAN-OS 11.1 < 11.1.15、PAN-OS 10.2 < 10.2.7-h34、PAN-OS 10.2 < 10.2.10-h36、PAN-OS 10.2 < 10.2.13-h21、PAN-OS 10.2 < 10.2.16-h7、PAN-OS 10.2 < 10.2.18-h6等版本均受此漏洞影响。

目前，Palo Alto Networks官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方参考链接：

https://security.paloaltonetworks.com/CVE-2026-0300

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、上海戎磐网络科技有限公司、广东南方信息安全研究院、贵州粟字科技有限公司、北方实验室（沈阳）股份有限公司、深圳市魔方安全科技有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

近日，国家信息安全漏洞库（CNNVD）收到关于Ollama安全漏洞（CNNVD-202605-502、CVE-2026-7482）情况的报送。攻击者通过漏洞可获取环境变量、API密钥、系统提示和并发用户的对话数据。Ollama 0.17.1之前版本均受此漏洞影响。

Ollama是一个开源的跨平台大模型工具。该漏洞源于GGUF模型加载器中堆越界读取，可能导致服务器读取超出分配的堆缓冲区内存，攻击者通过漏洞可获取环境变量、API密钥、系统提示和并发用户的对话数据。

Ollama 0.17.1之前版本均受此漏洞影响。

目前，Ollama官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方补丁链接：

https://github.com/ollama/ollama/releases/tag/v0.17.1

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、北方实验室（沈阳）股份有限公司、中国银联股份有限公司、内蒙古万德系统集成有限责任公司、内蒙古网安信息安全技术有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，近期（2026年4月16日至2026年4月28日）共采集重要人工智能漏洞213个

近期CNNVD采集人工智能漏洞213个。

图1 近五周漏洞新增数量统计图

近期共采集人工智能漏洞213个，包括NVIDIA、OpenClaw、Samsung（ONE）、Ollama等多个厂商（项目）的漏洞。其中超危漏洞8个，高危漏洞89个，中危漏洞116个。具体如表1所示：

表1 人工智能漏洞列表

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. OpenClaw 安全漏洞（CNNVD-202604-4179）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.3.31之前版本存在安全漏洞，该漏洞源于对权限验证不正确，攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. Hermes Web UI 路径遍历漏洞（CNNVD-202604-3859）

Hermes Web UI是一个轻量级、暗色主题的自主智能体Web界面。

Hermes Web UI存在路径遍历漏洞，该漏洞源于对路径名限制不当，攻击者利用该漏洞可以删除会话目录之外的文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/nesquena/hermes-webui/releases

3. OpenHarness 安全漏洞（CNNVD-202604-3877）

OpenHarness是一个开源的轻量级智能体开发与运行框架。

OpenHarness PR #147之前版本存在安全漏洞，该漏洞源于默认配置不安全，攻击者利用该漏洞可以绕过访问控制，从而访问未授权的文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/ryaneggz/open-harness/releases

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，自2026年4月14日-2026年4月28日，共采集OpenClaw漏洞111个。

OpenClaw是一个开源的智能人工助理，可运行在PC或服务器等多种终端设备上，能够直接通过微信、Telegram、Discord、Slack、iMessage等聊天平台接收指令并执行操作。OpenClaw拥有大量用户群体，影响范围涉及多个行业和领域，攻击者利用漏洞可在未授权状态下获取目标敏感数据，提升权限、或远程执行代码。OpenClaw 2026.4.27及之前多个版本均受到漏洞影响。

自2026年4月14日-2026年4月28日，国家信息安全漏洞库（CNNVD）共采集OpenClaw漏洞111个，其中超危漏洞2个、高危漏洞38个、中危漏洞65个、低危漏洞6个。参考链接：https://github.com/openclaw/openclaw/releases

目前，OpenClaw官方已经发布了更新修复漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。OpenClaw官方公告地址：

https://openclaw.ai/

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年4月20日至2026年4月26日）安全漏洞情况如下

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1447个，漏洞新增数量有所上升。从厂商分布来看Linux基金会新增漏洞最多，有255个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到6.15%。新增漏洞中，超危漏洞96个，高危漏洞369个，中危漏洞896个，低危漏洞86个。

本周CNNVD采集安全漏洞1447个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，Linux基金会新增漏洞最多，有255个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞85个，腾达公司漏洞数量最多，有21个。国内厂商漏洞整体修复率为51.16%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到6.15%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

本周共发布超危漏洞96个，高危漏洞369个，中危漏洞896个，低危漏洞86个。相应修复率分别为75.00%、75.07%、80.13%和47.67%。根据补丁信息统计，合计1108个漏洞已有修复补丁发布，整体修复率为76.57%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. Microsoft ASP.NET Core 数据伪造问题漏洞（CNNVD-202604-4193）

Microsoft ASP.NET Core是美国微软（Microsoft）公司的一框跨平台开源框架。

Microsoft ASP.NET Core存在数据伪造问题漏洞，该漏洞源于对加密签名验证不当，攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40372

2. IBM Total Storage Service Console / TS4500 IMC 操作系统命令注入漏洞（CNNVD-202604-4722）

IBM Total Storage Service Console / TS4500 IMC是美国国际商业机器（IBM）公司的一个用于存储系统监控、配置与维护管理的服务控制台软件。

IBM Total Storage Service Console / TS4500 IMC 9.2版本、9.3版本、9.4版本、9.5版本和9.6版本存在操作系统命令注入漏洞，该漏洞源于对用户输入验证不当，攻击者利用该漏洞可以以普通用户权限执行任意命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/7270127

3. WordPress plugin wpForo Forum 安全漏洞（CNNVD-202604-3710）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin wpForo Forum是一个应用插件。

WordPress plugin wpForo Forum 3.0.5版本及之前版本存在安全漏洞，该漏洞源于对文件类型自定义字段的值验证和限制不足，攻击者利用该漏洞可以删除任意文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/wpforo

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

1. OpenClaw 安全漏洞（CNNVD-202604-4179）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.3.31之前版本存在安全漏洞，该漏洞源于对权限验证不正确，攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. Hermes Web UI 路径遍历漏洞（CNNVD-202604-3859）

Hermes Web UI是一个轻量级、暗色主题的自主智能体Web界面。

Hermes Web UI存在路径遍历漏洞，该漏洞源于对路径名限制不当，攻击者利用该漏洞可以删除会话目录之外的文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/nesquena/hermes-webui/releases

3. OpenHarness 安全漏洞（CNNVD-202604-3877）

OpenHarness是一个开源的轻量级智能体开发与运行框架。

OpenHarness PR #147之前版本存在安全漏洞，该漏洞源于默认配置不安全，攻击者利用该漏洞可以绕过访问控制，从而访问未授权的文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/ryaneggz/open-harness/releases

本周CNNVD接收漏洞平台推送漏洞4523个。

表6 本周漏洞平台推送情况

本周CNNVD接报漏洞729个，其中信息技术产品漏洞（通用型漏洞）683个，网络信息系统漏洞（事件型漏洞）46个。

表7 本周漏洞报送情况

本周CNNVD收录漏洞通报200份。

表8 本周漏洞通报情况

跳转微信打开

2026年4月23日，国家信息安全漏洞库（CNNVD）在北京举办“国家人工智能安全漏洞库正启动运行”发布会。

跳转微信打开

近日，Oracle官方发布了多个安全漏洞的公告，其中Oracle产品本身漏洞110个，影响到Oracle产品的其他厂商漏洞345个。

2026年4月21日，Oracle发布了2026年4月份安全更新，共455个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Oracle Mysql、Oracle Identity Manager Connector、Oracle PeopleSoft Enterprise HCM Shared Components、Oracle PeopleSoft Enterprise FIN Maintenance、Oracle Financial Services Transaction Filtering、Oracle MySQL Shell等。CNNVD对其危害等级进行了评价，其中超危漏洞38个，高危漏洞160个，中危漏洞213个，低危漏洞44个。Oracle多个产品和系统版本受漏洞影响，具体影响范围可访问Oracle官方网站查询：

https://www.oracle.com/security-alerts/cpuapr2026.html

此次更新共455个漏洞的补丁程序，包括102个新增漏洞的补丁程序、8个更新漏洞的补丁程序和345个影响Oracle产品的其他厂商漏洞的补丁程序。

此次更新共包括102个新增漏洞的补丁程序，其中超危漏洞5个，高危漏洞21个，中危漏洞67个，低危漏洞9个。

此次更新共包括8个更新漏洞的补丁程序，其中超危漏洞2个，高危漏洞3个，中危漏洞2个，低危漏洞1个。

此次更新共包括345个影响Oracle产品的其他厂商漏洞的补丁程序，其中超危漏洞31个，高危漏洞136个，中危漏洞144个，低危漏洞34个。

目前，Oracle官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。Oracle官方补丁下载地址：

https://www.oracle.com/security-alerts/cpuapr2026.html

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年4月13日至2026年4月19日）安全漏洞情况如下

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1174个，漏洞新增数量有所下降。从厂商分布来看微软公司新增漏洞最多，有165个；从漏洞类型来看，资源管理错误类的安全漏洞占比最大，达到5.96%。新增漏洞中，超危漏洞75个，高危漏洞405个，中危漏洞654个，低危漏洞40个。

本周CNNVD采集安全漏洞1174个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，微软公司新增漏洞最多，有165个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞68个，华为公司漏洞数量最多，有20个。国内厂商漏洞整体修复率为50.00%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，资源管理错误类的安全漏洞占比最大，达到5.96%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

本周共发布超危漏洞75个，高危漏洞405个，中危漏洞654个，低危漏洞40个。相应修复率分别为68.00%、84.20%、72.78%和77.50%。根据补丁信息统计，合计899个漏洞已有修复补丁发布，整体修复率为76.58%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. Microsoft Windows IKE Extension 资源管理错误漏洞（CNNVD-202604-2814）

Microsoft Windows IKE Extension是美国微软（Microsoft）公司的网络密钥交换扩展。

Microsoft Windows IKE Extension存在资源管理错误漏洞，该漏洞源于内存双重释放，攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025,Windows 11 version 26H1 for x64-based Systems,Windows 11 Version 26H1 for ARM64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 25H2 for ARM systems,Windows 11 Version 25H2 for x64-based Systems,Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33824

2. Adobe ColdFusion 输入验证错误漏洞（CNNVD-202604-2760）

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台，该平台包括集成开发环境和脚本语言。

Adobe ColdFusion 2023.18版本和2025.6及之前版本存在输入验证错误漏洞，该漏洞源于对用户的输入验证不当，攻击者利用该漏洞可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://helpx.adobe.com/security/products/coldfusion/apsb26-38.html

3. Google Chrome 安全漏洞（CNNVD-202604-3115）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 147.0.7727.101之前版本存在安全漏洞，该漏洞源于内存释放后重用，攻击者利用该漏洞可以通过特制的HTML页面在沙箱内执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.google.com/chrome/

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

1. PraisonAI 代码注入漏洞（CNNVD-202604-3068）

PraisonAI是一个低代码多智能体协作框架。

PraisonAI 4.5.139之前版本存在代码注入漏洞，该漏洞源于工作流引擎会处理不受信任的YAML文件，攻击者利用该漏洞可以执行任意命令和代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/MervinPraison/PraisonAI/releases

2. Claude Code 安全漏洞（CNNVD-202604-3565）

Claude Code是一个开源的终端原生AI编程工具。

Claude Code 2.1.75之前版本存在安全漏洞，该漏洞源于未验证目录所有权或访问权限，攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://claude.com/

3. OpenHarness 安全漏洞（CNNVD-202604-3527）

OpenHarness是一个开源的轻量级智能体开发与运行框架。

OpenHarness存在安全漏洞，该漏洞源于在权限检查器中路径规范化不正确，攻击者利用该漏洞可以读取敏感文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/HKUDS/OpenHarness/releases

本周CNNVD接收漏洞平台推送漏洞4996个。

表6 本周漏洞平台推送情况

本周CNNVD接报漏洞765个，其中信息技术产品漏洞（通用型漏洞）741个，网络信息系统漏洞（事件型漏洞）24个。

表7 本周漏洞报送情况

本周CNNVD收录漏洞通报192份。

表8 本周漏洞通报情况

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，近期（2026年3月31日至2026年4月15日）共采集重要人工智能漏洞320个。

近期CNNVD采集人工智能漏洞320个。

图1 近五周漏洞新增数量统计图

近期共采集人工智能漏洞320个，包括OpenClaw、Ollama、MLflow等多个厂商（项目）的漏洞。其中超危漏洞35个，高危漏洞107个，中危漏洞178个。具体如表1所示：

表1 人工智能漏洞列表

近期重要漏洞实例如表2所示。

表2 本期重要漏洞实例

1. OpenClaw 操作系统命令注入漏洞（CNNVD-202603-6234）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.3.13之前版本存在操作系统命令注入漏洞，该漏洞源于未清理路径包含的shell元字符，攻击者利用该漏洞可以远程注入命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. MLflow 操作系统命令注入漏洞（CNNVD-202603-6212）

MLflow是一个开源简化机器学习的开发平台。

MLflow存在操作系统命令注入漏洞，该漏洞源于model_uri参数未经适当清理可直接嵌入shell命令，攻击者利用该漏洞可以注入命令和提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/mlflow/mlflow/releases

3. LoLLMs 安全漏洞（CNNVD-202604-1398）

LoLLMs是一个大型语言与多模态系统。

LoLLMs 2.1.0版本存在安全漏洞，该漏洞源于使用弱密钥签署JSON Web Tokens导致访问控制不当，攻击者利用该漏洞可以离线暴力破解以恢复密钥，进而伪造管理令牌并提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lollms.com/

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，自2026年4月3日-2026年4月13日，共采集OpenClaw漏洞63个

OpenClaw是一个开源的智能人工助理，可运行在PC或服务器等多种终端设备上，能够直接通过微信、Telegram、Discord、Slack、iMessage等聊天平台接收指令并执行操作。OpenClaw拥有大量用户群体，影响范围涉及多个行业和领域，攻击者利用漏洞可在未授权状态下获取目标敏感数据，提升权限、或远程执行代码。OpenClaw 2026.4.14之前多个版本均受到漏洞影响。

自2026年4月3日-2026年4月13日，国家信息安全漏洞库（CNNVD）共采集OpenClaw漏洞63个，其中高危漏洞19个、中危漏洞43个、低危漏洞1个。参考链接：https://github.com/openclaw/openclaw/releases

目前，OpenClaw官方已经发布了更新修复漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。OpenClaw官方公告地址：

https://openclaw.ai/

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞166个，影响到微软产品的其他厂商漏洞29个。

2026年4月14日，微软发布了2026年4月份安全更新，共195个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 、Microsoft GitHub Copilot and Visual Studio Code、Microsoft Windows Encrypting File System、Microsoft Windows Local Security Authority Subsystem Service、Microsoft Power Apps、Microsoft Windows GDI等。CNNVD对其危害等级进行了评价，其中超危漏洞3个，高危漏洞125个，中危漏洞57个，低危漏洞10个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问微软官方网站查询：

https://portal.msrc.microsoft.com/zh-cn/security-guidance

此次更新共195个漏洞的补丁程序，包括165个新增漏洞的补丁程序、1个更新漏洞的补丁程序和29个影响微软产品的其他厂商漏洞的补丁程序。

此次更新共包括165个新增漏洞的补丁程序，其中超危漏洞2个，高危漏洞123个，中危漏洞40个。

此次更新共包括1个更新漏洞的补丁程序，其中中危漏洞1个。

此次更新共包括29个影响微软产品的其他厂商漏洞的补丁程序，其中超危漏洞1个，高危漏洞2个，中危漏洞16个，低危漏洞10个。

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方补丁下载地址：

https://msrc.microsoft.com/update-guide/en-us

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年4月6日至2026年4月12日）安全漏洞情况如下

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1604个，漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多，有277个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到6.80%。新增漏洞中，超危漏洞92个，高危漏洞433个，中危漏洞1015个，低危漏洞64个。

本周CNNVD采集安全漏洞1604个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，WordPress基金会新增漏洞最多，有277个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞139个，友讯公司漏洞数量最多，有41个。国内厂商漏洞整体修复率为12.95%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到6.80%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

本周共发布超危漏洞92个，高危漏洞433个，中危漏洞1015个，低危漏洞64个。相应修复率分别为55.43%、63.97%、69.46%和76.56%。根据补丁信息统计，合计1082个漏洞已有修复补丁发布，整体修复率为67.46%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. WordPress plugin Ninja Forms - File Uploads 代码问题漏洞（CNNVD-202604-1403）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin Ninja Forms - File Uploads是一个应用插件。

WordPress plugin Ninja Forms - File Uploads 3.3.26版本及之前版本存在代码问题漏洞，该漏洞源于NF_FU_AJAX_Controllers_Uploads::handle_upload函数缺少文件类型验证，攻击者利用该漏洞可以上传任意文件，从而远程执行代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://ninjaforms.com/extensions/file-uploads/

2. Google Chrome 资源管理错误漏洞（CNNVD-202604-1457）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 147.0.7727.55之前版本存在资源管理错误漏洞，该漏洞源于内存释放后重用，攻击者利用该漏洞可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.google.com/chrome/

3. Red Hat Quay 代码问题漏洞（CNNVD-202604-1607）

Red Hat Quay是美国红帽（Red Hat）公司的一款分布式容器镜像仓库，具有构建、分布和部署容器的功能。

Red Hat Quay存在代码问题漏洞，该漏洞源于数据存储格式允许被篡改，攻击者利用该漏洞可以在服务器上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://access.redhat.com/security/cve/CVE-2026-32590

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

1. LoLLMs 安全漏洞（CNNVD-202604-1398）

LoLLMs是一个大型语言与多模态系统。

lollms 2.1.0版本存在安全漏洞，该漏洞源于使用弱密钥签署JSON Web Tokens导致访问控制不当，攻击者利用该漏洞可以执行离线暴力破解以恢复密钥，进而伪造管理令牌并提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lollms.com/

2. PraisonAI 代码问题漏洞（CNNVD-202604-1921）

PraisonAI是一个低代码多智能体协作框架。

PraisonAI 1.5.128之前版本存在代码问题漏洞，该漏洞源于web_crawl函数未对URL进行任何验证，攻击者利用该漏洞可以获取敏感信息。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/MervinPraison/PraisonAI/releases

3. OpenClaw 安全漏洞（CNNVD-202604-1939）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.3.22之前版本存在安全漏洞，该漏洞源于对权限的范围验证不足，攻击者利用该漏洞可以提升权限和远程执行代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

本周CNNVD接收漏洞平台推送漏洞4997个。

表6 本周漏洞平台推送情况

本周CNNVD接报漏洞623个，其中信息技术产品漏洞（通用型漏洞）611个，网络信息系统漏洞（事件型漏洞）12个。

表7 本周漏洞报送情况

本周CNNVD收录漏洞通报222份。

表8 本周漏洞通报情况

CNNVD关于Apache ActiveMQ安全漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Apache ActiveMQ安全漏洞（CNNVD-202604-1392、CVE-2026-34197）情况的报送。成功利用漏洞的攻击者，可在目标系统远程执行代码。Apache ActiveMQ 多个版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

1.漏洞介绍

Apache ActiveMQ是美国阿帕奇（Apache）基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ存在安全漏洞，该漏洞源于Jolokia JMX-HTTP的输入验证不当导致，攻击者可以通过 ActiveMQ 的 Jolokia API 调用管理操作，诱使代理服务器获取远程配置文件并执行任意系统命令。

2.危害影响

Apache ActiveMQ 5.19.4之前版本和6.0.0至6.2.3之前版本均受此漏洞影响。

3.修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方更新链接：

https://activemq.apache.org/download.html

跳转微信打开

近日，国家信息安全漏洞库（CNNVD）收到关于Apache ActiveMQ安全漏洞（CNNVD-202604-1392、CVE-2026-34197）情况的报送。

Apache ActiveMQ是美国阿帕奇（Apache）基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ存在安全漏洞，该漏洞源于Jolokia JMX-HTTP的输入验证不当导致，攻击者可以通过 ActiveMQ 的 Jolokia API 调用管理操作，诱使代理服务器获取远程配置文件并执行任意系统命令。

Apache ActiveMQ 5.19.4之前版本和6.0.0至6.2.3之前版本均受此漏洞影响。

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方更新链接：

https://activemq.apache.org/download.html

本通报由CNNVD技术支撑单位——深信服科技股份有限公司、三六零数字安全科技集团有限公司、广州纬安科技有限公司、奇安信网神信息技术（北京）股份有限公司、中国联合网络通信有限公司深圳市分公司、贵州粟字科技有限公司、甘肃青鸾信息技术有限公司、天翼云科技有限公司、华易数安科技(吉林省)有限公司、山东新潮信息技术有限公司、郑州云智信安安全技术有限公司、北京中测安华科技有限公司、广东财贸职业学院、上海矢安科技有限公司、杭州迪普科技股份有限公司、深圳市博通智能技术有限公司、北京山石网科信息技术有限公司、新基信息技术集团股份有限公司、西安尚易安华信息科技有限责任公司、成都卫士通信息安全技术有限公司、南京共美科技有限公司、江西诚韬科技有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

跳转微信打开

根据国家信息安全漏洞库（CNNVD）统计，本周（2026年3月30日至2026年4月5日）安全漏洞情况如下

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1298个，漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多，有91个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到8.47%。新增漏洞中，超危漏洞82个，高危漏洞352个，中危漏洞805个，低危漏洞59个。

本周CNNVD采集安全漏洞1298个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，Linux基金会新增漏洞最多，有91个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞65个，腾达公司漏洞数量最多，有16个。国内厂商漏洞整体修复率为32.31%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到8.47%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

本周共发布超危漏洞82个，高危漏洞352个，中危漏洞805个，低危漏洞59个。相应修复率分别为85.37%、62.78%、69.32%和59.32%。根据补丁信息统计，合计884个漏洞已有修复补丁发布，整体修复率为68.10%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. WordPress plugin Everest Forms Pro 代码注入漏洞（CNNVD-202603-6285）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin Everest Forms Pro是一个应用插件。

WordPress plugin Everest Forms Pro 1.9.12版本及之前版本存在代码注入漏洞，该漏洞源于未正确转义用户提交的表单字段，攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/

2. Apache Airflow 信任管理问题漏洞（CNNVD-202603-5905）

Apache Airflow是美国阿帕奇（Apache）基金会的一套具有创建、管理和监控工作流程功能的开源平台，该平台具有可扩展和动态监控等功能。

Apache Airflow 1.10.0至1.12.0之前版本存在信任管理问题漏洞，该漏洞源于对证书验证不当，攻击者利用该漏洞可以窃取凭据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lists.apache.org/thread/hn17yqsgsdtl81llvhf80rkp53hnz5nb

3. Cisco Evolved Programmable Network Manager 安全漏洞（CNNVD-202604-096）

Cisco Evolved Programmable Network Manager是美国思科（Cisco）公司的一套网络管理解决方案。

Cisco Evolved Programmable Network Manager存在安全漏洞，该漏洞源于对受影响设备REST API端点授权检查不当，攻击者利用该漏洞可以访问未授权的敏感信息。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-epnm-improp-auth-mUwFWUU3

本周重要人工智能漏洞实例如表5所示。

表5 本期重要人工智能漏洞实例

1. OpenClaw 操作系统命令注入漏洞（CNNVD-202603-6234）

OpenClaw是一个开源的智能人工助理。

OpenClaw 2026.3.13之前版本存在操作系统命令注入漏洞，该漏洞源于未对附件中包含的路径进行过滤和清理，攻击者利用该漏洞可以远程注入命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/openclaw/openclaw/releases

2. NVIDIA BioNeMo 代码问题漏洞（CNNVD-202603-6154）

NVIDIA BioNeMo是美国英伟达（NVIDIA）公司的一个面向生物医药领域的生成式AI模型开发与训练平台。

NVIDIA BioNeMo存在代码问题漏洞，该漏洞源于在处理用户输入或外部模型数据时没有对反序列化过程进行充分的验证，攻击者利用该漏洞可以执行代码、获取敏感信息和篡改数据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://nvidia.custhelp.com/app/answers/detail/a_id/5808

3. LangChain 安全漏洞（CNNVD-202603-6269）

LangChain是一个开源的用于开发由大型语言模型（LLM）提供支持的应用软件框架。

LangChain 1.2.22之前版本存在安全漏洞，该漏洞源于未对目录遍历或绝对路径注入进行验证，攻击者利用该漏洞可以读取主机文件系统上的任意文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/langchain-ai/langchain/releases

本周CNNVD接收漏洞平台推送漏洞3936个。

表6 本周漏洞平台推送情况

本周CNNVD接报漏洞797个，其中信息技术产品漏洞（通用型漏洞）769个，网络信息系统漏洞（事件型漏洞）28个。

表7 本周漏洞报送情况

本周CNNVD收录漏洞通报229份。

表8 本周漏洞通报情况

跳转微信打开