漏洞风险提示（20250512）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Django安全漏洞（CVE-2025-32873）
一、漏洞描述：
       
        在Django多版本中发现问题漏洞。django.utils.html.strip_tags() 函数在处理包含大量不完整HTML标签的输入时，容易受到潜在的拒绝服务（性能缓慢）的影响。模板过滤器条标也很容易受到攻击，因为它构建在 strip_tags() 之上。
二、风险等级：
        高
三、影响范围：
        4.2 <= Django <= 4.2.21
        5.1 <= Django <= 5.1.19
        5.2 <= Django <= 5.2.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.djangoproject.com/we ... /security-releases/

---

2 WordPress Drag and Drop插件文件上传漏洞（CVE-2025-37846）
一、漏洞描述：
       
        适用于WordPress的Drag and Drop Multiple File Upload插件中容易受到任意文件上传的影响，因为接受用户提供的supported_type字符串和上传的文件名，而没有在upload()函数中强制执行实际扩展名或MIME检查。这使得未经身份验证的攻击者可以在受影响站点的服务器上上传任意文件，从而可能使远程代码执行成为可能。
二、风险等级：
        高
三、影响范围：
        WordPress的Drag and Drop <= 1.1.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/dr ... ad-for-woocommerce/

---

3 WordPress BuddyBoss Platform Pro插件身份验证绕过漏洞（CVE-2025-1909）
一、漏洞描述：
       
        BuddyBoss Platform Pro是一款基于WordPress开发的专业版插件，专注于构建在线社区和在线课程平台。
        WordPress BuddyBoss Platform Pro插件在2.7.01 及之前版本中存在身份验证绕过漏洞。该漏洞是由于受影响版本在进行 Apple OAuth身份验证请求时，对用户提供的身份验证信息验证不足导致的。攻击者可以通过获取目标用户的电子邮件访问权限，绕过身份验证，登录为任何现有用户（例如管理员账户），从而完全控制网站。
二、风险等级：
        高
三、影响范围：
        BuddyBoss Platform Pro plugin <=2.7.01
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.buddyboss.com/resour ... tform-pro-releases/

---

4 Cisco IOS XE Software拒绝服务攻击漏洞（CVE-2025-20162）
一、漏洞描述：
       
        Cisco IOS和IOS XE都是美国思科（Cisco）公司的一套为其网络设备开发的操作系统。
        Cisco IOS XE Software的DHCP侦听安全功能中存在拒绝服务攻击漏洞。该漏洞是由于受影响版本在处理DHCP请求数据包时存在缺陷，导致攻击者可以远程触发接口队列堵塞，进而引发拒绝服状况。该漏洞的利用方式多样，且攻击门槛低，对网络设备的可用性构成严重威胁。
二、风险等级：
        高
三、影响范围：
        IOS XE Software
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https:/sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-dhcpsn-dos-xBn8Mtks

---