2026年2月漏洞通告
发布时间:2026-03-13
三、 漏洞通告
根据影响范围、危害程度等因素,筛选近期各大漏洞数据库公开披露的风险较大的漏洞,可依据此表进行安全风险识别、风险自查和漏洞修补。汇总列表如下:
| 序号 | 漏洞名称 | 等级 | 公开时间 |
| 3.1 | GitLab AI Gateway 模板注入漏洞 | 严重 | 2026-02-08 |
| 3.2 | Windows Shell 安全功能绕过漏洞 | 严重 | 2026-02-12 |
| 3.3 | Windows DWM 权限提升漏洞 | 严重 | 2026-02-12 |
| 3.4 | Microsoft Word OLE 安全绕过漏洞 | 严重 | 2026-02-12 |
| 3.5 | Dell RP4VMs 硬编码凭据漏洞 | 严重 | 2026-02-18 |
| 3.6 | WordPress WPvivid 任意文件上传漏洞 | 严重 | 2026-02-25 |
| 3.7 | 微信 Linux版本命令执行漏洞 | 高危 | 2026-02-10 |
| 3.8 | Windows 记事本 命令注入漏洞 | 高危 | 2026-02-12 |
| 3.9 | Chrome CSS 释放后重用漏洞 | 高危 | 2026-02-13 |
3.1 GitLab AI Gateway 模板注入漏洞(CCVE-2026-1868)
公开时间:2026-02-08漏洞等级:严重
漏洞类型:模板注入、远程代码执行
漏洞利用细节是否公开:已公开
漏洞概述:
GitLab 自托管版 AI Gateway 的 Duo Workflow Service 组件存在模板注入缺陷,已认证用户可执行任意系统命令并导致服务拒绝。
影响范围:
GitLab 特定版本(官方已发布修复版)
安全建议:
1、立即升级至GitLab官方发布的安全修复版本;
2、限制AI Gateway访问权限,仅允许可信IP/用户访问。
3.2 Windows Shell 安全功能绕过漏洞(CVE-2026-21510)
公开时间:2026-02-12漏洞等级:严重
漏洞类型:安全功能绕过、远程代码执行
漏洞利用细节是否公开:已公开
漏洞概述:
Windows Shell 保护机制失效,攻击者可绕过 SmartScreen 与 Mark of the Web 安全警告,在无用户交互确认下执行恶意代码。
影响范围:
所有受支持的 Windows 版本
安全建议:
1、安装微软2026年2月安全更新补丁;
2、启用SmartScreen并保持默认拦截策略,不随意放行未知文件/链接。
3.3 Windows DWM 权限提升漏洞(CVE-2026-21519)
公开时间:2026-02-12漏洞等级:严重
漏洞类型:权限提升(EoP)
漏洞利用细节是否公开:已公开
漏洞概述:
桌面窗口管理器(DWM)处理特定资源时发生类型混淆,导致权限校验失效,本地攻击者可将权限从普通用户提升至系统最高权限。
影响范围:
所有受支持的 Windows 版本。
安全建议:
1、安装微软2026年2月安全更新补丁;
2、限制本地用户权限,避免普通用户拥有代码执行能力。
3.4 Microsoft Word OLE 安全绕过漏洞(CVE-2026-21514)
公开时间:2026-02-12漏洞等级:严重
漏洞类型:安全功能绕过、代码执行
漏洞利用细节是否公开:已公开
漏洞概述:
Microsoft Word的OLE控件安全缓解措施存在缺陷,攻击者可构造恶意文档,在用户打开后执行任意代码。
影响范围:
所有受支持的 Microsoft Office/Word 版本
安全建议:
1、安装微软 2026年2月安全更新补丁;
2、启用Office受保护视图,不随意启用来自邮件/网络的文档宏代码。
3.5 Dell RP4VMs 硬编码凭据漏洞(CVE-2026-22769)
公开时间:2026-02-18漏洞等级:严重
漏洞类型:硬编码凭据(CWE-798)、远程访问绕过
漏洞利用细节是否公开:已公开
漏洞概述:
Dell RecoverPoint for Virtual Machines(RP4VMs)内置硬编码管理员凭据,未认证远程攻击者可直接获取底层系统root 权限并实现持久化访问。
影响范围:
RP4VMs 6.0.3.1 HF1 之前所有版本;RecoverPoint Classic 不受影响
安全建议:
1、立即升级至 6.0.3.1 HF1或更高版本NVD;
2、部署在内部网络并通过防火墙隔离,禁止公网暴露;
3、排查是否存在GRIMBOLT/BRICKSTORM后门,应用Mandiant发布的IOC规则。
3.6 WordPress WPvivid 任意文件上传漏洞(CVE-2026-1357)
公开时间:2026-02-25漏洞等级:严重
漏洞类型:未认证任意文件上传、远程代码执行
漏洞利用细节是否公开:已公开
漏洞概述:
WPvivid Backup & Migration 插件处理 RSA 解密错误与文件名时校验不足,允许攻击者上传 Webshell 并接管服务器
影响范围:
WPvivid Backup & Migration 插件全版本(含最新版)
安全建议:
1、立即卸载或禁用该插件,等待官方修复;
2、排查网站是否存在恶意文件,修改数据库与服务器凭据。
3.7微信 Linux版本命令执行漏洞(QVD-2026-7687)
公开时间:2026-02-10漏洞等级:高危
漏洞类型:命令执行
漏洞利用细节是否公开:已公开
漏洞概述:
近日,奇安信CERT监测到微信 Linux版本命令执行漏洞(QVD-2026-7687),该漏洞源于微信 Linux版文件名校验不严格,攻击者可诱导用户打开恶意文件名的文件从而导致命令执行,获取系统权限。目前该漏洞PoC已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
影响范围:
微信 Linux版本 <= 4.1.0.13
安全建议:
- 官方已发布安全补丁,请及时更新至最新版本:
3.8 Windows 记事本 命令注入漏洞(CVE-2026-20841)
公开时间:2026-02-12漏洞等级:高危
漏洞类型:命令注入(CWE-77)、远程代码执行(RCE)
漏洞利用细节是否公开:已公开
漏洞概述:
新版 Windows 记事本(Microsoft Store 分发)在解析 Markdown 链接时,未对 file:///ms-appinstaller:// 等协议做安全校验,导致命令注入与远程代码执行。
影响范围:
记事本 11.2510 之前版本;传统版notepad.exe不受影响
安全建议:
1、通过 Microsoft Store 将记事本升级至11.2510 或更高版本;
2、避免打开来源不明的.md/.txt文件,谨慎点击其中链接。
3.9 Chrome CSS 释放后重用漏洞(CVE-2026-2441)
公开时间:2026-02-13漏洞等级:高危
漏洞类型:释放后重用(Use-After-Free,CWE-416)、远程代码执行(RCE)
漏洞利用细节是否公开:已公开
漏洞概述:
Chrome Blink 引擎 CSS 模块存在内存释放后重用缺陷,攻击者通过诱导用户访问恶意网页,可在浏览器沙箱内执行任意代码。
影响范围:
Chrome 145.0.7632.75 之前版本(Windows/macOS)、144.0.7559.75 之前版本(Linux)
所有基于 Chromium 的浏览器(Edge、Brave、Opera等)
安全建议:
1、立即将 Chrome/Chromium 内核浏览器升级至最新稳定版;
2、启用浏览器自动更新,避免访问可疑网站与点击不明链接。
上一篇:2026年2月安全月报 下一篇:返回列表
返回列表
