漏洞风险提示（20260309）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress plugin Blaze Demo Importer未授权数据库重置和文件删除漏洞（CVE-2025-13334）
一、漏洞描述：
        
        WordPress和WordPress plugin都是WordPress基金会的产品，WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能，WordPress plugin是一个应用插件。
        Blaze Demo Importer plugin 1.0.13及之前版本存在未授权数据库重置和文件删除漏洞，该漏洞源于blaze_demo_importer_install_demo功能权限检查缺失，攻击者可利用该漏洞通过截断所有表格、删除所有侧边栏小部件、主题修改以及上传文件夹的内容来重置数据库，导致未授权的信息修改。
二、风险等级：
        高
三、影响范围：
        WordPress Blaze Demo Importer plugin ≤ 1.0.13
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/blaze-demo-importer

---

2 ImageMagick输入验证错误漏洞（CVE-2026-23876）
一、漏洞描述：
        
        ImageMagick是ImageMagick开源的一套开源的图像处理软件。可读取、转换或写入多种格式的图片。
        ImageMagick 7.1.2-13之前版本和6.9.13-38之前版本存在输入验证错误漏洞，该漏洞源于XBM图像解码器存在堆缓冲区溢出，攻击者可利用该漏洞实现远程代码执行。
二、风险等级：
        高
三、影响范围：
        ImageMagick ImageMagick ≤ 7.1.2-12
        ImageMagick ImageMagick ≤ 6.9.13-37
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ImageMagick/ImageMagick/releases

---

3 D-Link DWR-M960 formDdns文件缓冲区溢出漏洞（CVE-2026-2855）
一、漏洞描述：
        
        D-Link DWR-M960是中国友讯（D-Link）公司的一款路由器。
        D-Link DWR-M960 formDdns文件存在缓冲区溢出漏洞。该漏洞源于DDNS Settings Handler组件中文件/boafrm/formDdns的函数sub_4648F0对参数submit-url的错误操作，攻击者可利用该漏洞并在系统上执行任意代码，或导致应用程序崩溃。
二、风险等级：
        高
三、影响范围：
        D-Link DWR-M960 1.01.07
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/LX-66-LX/cve-new/issues/12

---

4 Google Chrome缓冲区溢出漏洞（CVE-2026-3061）
一、漏洞描述：
        
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。
        Google Chrome存在缓冲区溢出漏洞，该漏洞源于媒体越界读取，远程攻击者可利用该漏洞通过精心制作的HTML页面执行越界内存读取。
二、风险等级：
        高
三、影响范围：
        Google Chrome <145.0.7632.115
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... for-desktop_23.html

---