漏洞风险提示（20240813)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress plugin BookingPress 安全漏洞（CVE-2024-7350）
一、漏洞描述：     
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin BookingPress 1.1.6版本至1.1.7版本存在安全漏洞，该漏洞源于在用户完成预订后登录之前没有正确验证用户身份。
二、风险等级：
        高危
三、影响范围：
        WordPress plugin BookingPress 1.1.6-1.1.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/bookingpress-appointment-booking/

---

2 Django SQL注入漏洞（CVE-2024-42005）
一、漏洞描述：     
       
        Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django 5.0到5.0.8之前版本和4.2到4.2.15之前版本存在SQL注入漏洞，该漏洞源于当使用带有JSONField的模型的QuerySet.values和values_list方法时，通过精心构造的JSON对象键作为传递的*arg，可能会受到SQL注入攻击。
二、风险等级：
        高危
三、影响范围：
        Django 5.0-5.0.8
        Django 4.2-4.2.15
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://docs.djangoproject.com/en/dev/releases/security/

---

3 wpa_supplicant 权限提升漏洞（CVE-2024-5290）
一、漏洞描述：     
       
        wpa_supplicant是一款跨平台的WPA请求程序。该程序支持WEP、WPA和WPA2等。wpa_supplicant存在安全漏洞，该漏洞源于存在加载任意共享对象问题，这允许本地非特权攻击者将权限提升到以wpa_supplicant身份运行的用户。
二、风险等级：
        高危
三、影响范围：
        wpa_supplicant
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://ubuntu.com/security/notices/USN-6945-1

---

4 Mozilla多款产品 内存损坏漏洞（CVE-2024-7519）
一、漏洞描述：     
       
        Mozilla Firefox等都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。Mozilla多款产品存在安全漏洞，该漏洞源于处理图形共享内存时检查不足，可能会导致内存损坏。以下产品及版本受到影响：Firefox 129之前版本、Firefox ESR 128.1之前版本和Thunderbird 128.1之前版本。
二、风险等级：
        高危
三、影响范围：
        Firefox < 129
        Firefox ESR < 128.1
        Thunderbird < 128.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.mozilla.org/security/advisories/mfsa2024-33/