漏洞风险提示（20260521）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 TP-Link Tapo C260命令注入漏洞（CVE-2026-0652）
一、漏洞描述：
        
        TP-Link Tapo C260是中国普联（TP-Link）公司的一个监控摄像机。
        TP-Link Tapo C260 v1版本存在命令注入漏洞，该漏洞源于配置同步过程中，部分POST参数因输入净化不足，攻击者可利用该漏洞注入并执行任意系统命令。
二、风险等级：
        高
三、影响范围：
        TP-LINK Tapo C260 v1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://nvd.nist.gov/vuln/detail/CVE-2026-0652

---

2 Autodesk 3ds Max堆栈缓冲区溢出漏洞（CVE-2026-0660）
一、漏洞描述：
        
        Autodesk 3ds Max是美国Autodesk公司的一款全功能的三维计算机图形软件。
        Autodesk 3ds Max存在堆栈缓冲区溢出漏洞，该漏洞源于解析GIF图像文件时，未严格校验文件头部、尺寸、像素数据长度等字段，将超长数据复制到固定大小的栈缓冲区导致溢出，攻击者可利用该漏洞触发栈缓冲区溢出，在当前进程上下文中执行任意代码。
二、风险等级：
        高
三、影响范围：
        Autodesk Autodesk 3ds Max
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.autodesk.com/products/autodesk-access/overview

---

3 ArcadeDB越权访问漏洞（CVE-2026-44221）
一、漏洞描述：
        
        ArcadeDB 是一个多模型 DBMS。
        在 2.6.4 之前，已认证的用户和针对特定数据库的 API 令牌可以在同一服务器上的任何其他数据库中读取、写入和修改模式。任何已认证的主体都可以绕过记录级和数据库级授权。
二、风险等级：
        高
三、影响范围：
        ArcadeDB ≤ 2.6.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ArcadeData/ar ... 07f71fe7182f3a3deb8

---

4 Microsoft Windows Hyper-V权限提升漏洞（CVE-2026-40402）
一、漏洞描述：
        
        Microsoft Windows Hyper-V是美国微软（Microsoft）公司的一款可提供硬件虚拟化的工具。该软件允许创建虚拟硬盘驱动器、虚拟交换机以及许多其他虚拟设备。
        Microsoft Windows Hyper-V存在权限提升漏洞，攻击者可利用该漏洞在系统上获得更高的权限。
二、风险等级：
        高
三、影响范围：
        Microsoft Windows Server 2022
        Microsoft Windows Server 2022 (Server Core installation)
        Microsoft Windows 11 23H2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2026-40402

---