漏洞风险提示（20250711）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 用友网络科技股份有限公司用友U8Cloud存在XML实体注入漏洞（CNVD-2025-14715）
一、漏洞描述：
        
        用友U8Cloud是一款企业级ERP，用于协助企业实现业务协同和流程管理的高效化和数字化。
        用友网络科技股份有限公司用友U8Cloud存在XML实体注入漏洞，攻击者可利用漏洞获取敏感信息。
二、风险等级：
        高
三、影响范围：
        用友网络科技股份有限公司 用友U8Cloud
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://security.yonyou.com/#/noticeInfo?id=623

---

2 深圳市蓝凌软件股份有限公司业务经营云存在sql注入漏洞（CNVD-2025-14712）
一、漏洞描述：
        
        深圳市蓝凌软件股份有限公司是国内知名的大平台OA服务商和国内领先的智能知识与“AI+协同”解决方案提供商。
        深圳市蓝凌软件股份有限公司业务经营云存在sql注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级：
        高
三、影响范围：
        深圳市蓝凌软件股份有限公司 业务经营云
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.landray.com.cn/

---

3 WordPress Lead Form Data Collection to CRM plugin权限提升漏洞（CNVD-2025-15411）
一、漏洞描述：
        
        WordPress和WordPress plugin都是WordPress基金会的产品，WordPress plugin是一个应用插件。
        WordPress Lead Form Data Collection to CRM plugin存在权限提升漏洞，该漏洞源于函数doFieldAjaxAction能力检查缺失，攻击者可利用该漏洞篡改系统配置，植入恶意软件。
二、风险等级：
        高
三、影响范围：
        WordPress Lead Form Data Collection to CRM plugin <=3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/wp-leads-builder-any-crm

---

4 WordPress ads pro SQL注入漏洞（CNVD-2025-15413）
一、漏洞描述：
        
        WordPress Ads Pro是一款多用途广告管理插件，主要用于在WordPress网站中灵活管理广告空间，支持横幅广告展示、计费模式设置及用户友好的广告投放方案。
        WordPress ads pro存在SQL注入漏洞，该漏洞源于SQL注入和本地文件包含漏洞链式利用，程序未正确验证用户输入的SQL语句，攻击者可利用该漏洞导致远程代码执行。
二、风险等级：
        高
三、影响范围：
        WordPress ads pro <=4.89
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.com/zh-cn/

---

5 WordPress Vikinger路径遍历漏洞（CNVD-2025-15414）
一、漏洞描述：
        
        WordPress Vikinger是一款由国外开发者开发的WordPress博客主题。
        WordPress Vikinger存在路径遍历漏洞，该漏洞源于函数vikinger_delete_activity_media_ajax中文件路径验证不足，攻击者可利用该漏洞通过读取或修改应用程序之外的文件，篡改系统配置。
二、风险等级：
        高
三、影响范围：
        WordPress Vikinger <=1.9.32
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/themes/

---

6 WordPress ads pro跨站请求伪造漏洞（CNVD-2025-15418）
一、漏洞描述：
        
        WordPress Ads Pro是一款多用途广告管理插件，主要用于在WordPress网站中灵活管理广告空间，支持横幅广告展示、计费模式设置及用户友好的广告投放方案。
        WordPress ads pro存在跨站请求伪造漏洞，该漏洞源于函数bsaCreateAdTemplate随机数验证缺失，攻击者可利用该漏洞发送非预期的请求，执行任意PHP代码。
二、风险等级：
        高
三、影响范围：
        WordPress ads pro <=4.89
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.com/zh-cn/

---

7 WordPress ads pro SQL注入漏洞（CNVD-2025-15421）
一、漏洞描述：
        
        WordPress Ads Pro是一款多用途广告管理插件，主要用于在WordPress网站中灵活管理广告空间，支持横幅广告展示、计费模式设置及用户友好的广告投放方案。
        WordPress ads pro存在SQL注入漏洞，该漏洞源于变量$id转义不足和SQL查询准备不足，攻击者可利用该漏洞通过发送恶意SQL命令，绕过身份验证，访问敏感数据。
二、风险等级：
        高
三、影响范围：
        WordPress ads pro <=4.89
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.com/zh-cn/

---

8 WordPress Forminator Forms代码问题漏洞（CNVD-2025-15422）
一、漏洞描述：
        
        WordPress Forminator Forms是一款功能强大的免费表单构建插件，支持创建多种类型的交互式表单。
        WordPress Forminator Forms存在代码问题漏洞，该漏洞源于函数entry_delete_upload_files中反序列化不可信输入，攻击者可利用该漏洞通过提升权限，修改用户权限设置，获取更高权限。
二、风险等级：
        高
三、影响范围：
        WordPress Forminator Forms <=1.44.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/forminator

---