漏洞风险提示（20240705)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress plugin WPQA Builder 跨站请求伪造漏洞（CVE-2024-2376）
一、漏洞描述：     
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin WPQA Builder 6.1.1之前版本存在跨站请求伪造漏洞，该漏洞源于没有进行跨站请求伪造检。
二、风险等级：
        高危
三、影响范围：
        WordPress plugin WPQA Builder < 6.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wpscan.com/vulnerability ... -bc27-5edd2507a818/

---

2 MB Connect Line mbNET.mini 操作系统命令注入漏洞（CVE-2024-5672）
一、漏洞描述：     
       
        MB Connect Line mbNET.mini是德国MB Connect Line公司的一款工业路由器。MB Connect Line mbNET.mini 2.2.11及之前版本存在操作系统命令注入漏洞，该漏洞源于操作系统命令中使用的特殊元素的不当中和，导致攻击者可以通过GET请求执行任意系统命令。
二、风险等级：
        高危
三、影响范围：
        MB Connect Line mbNET.mini <= 2.2.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://mbconnectline.com/downlo ... 2-13-mbnet-mini-en/

---

3 OpenSSH 远程代码执行漏洞（CVE-2024-6387）
一、漏洞描述：     
       
        OpenSSH（OpenBSD Secure Shell）是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH 存在安全漏洞，该漏洞源于信号处理程序中存在竞争条件，攻击者利用该漏洞可以在无需认证的情况下远程执行任意代码并获得系统控制权。
二、风险等级：
        高危
三、影响范围：
        OpenSSH < 4.4p1  
        8.5p1 <= OpenSSH < 9.8p1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.openssh.com/txt/release-9.8

---

4 MIT Kerberos 安全漏洞（CVE-2024-37370）
一、漏洞描述：     
       
        MIT Kerberos是美国麻省理工学院（MIT）的一个用于在网络集群中进行身份验证的软件。Kerberos 同时作为一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。MIT Kerberos 5 1.21.3之前版本存在安全漏洞。攻击者利用该漏洞可以修改机密 GSS krb5 包装令牌的纯文本 Extra Count 字段，导致解包后的令牌在应用程序中显得被截断。
二、风险等级：
        高危
三、影响范围：
        MIT Kerberos 5 1.21.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/krb5/krb5/com ... 1669b1ce7144bc96fef