漏洞风险提示（20220801）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1WordPress plugin GS Testimonial Slider 跨站脚本漏洞（CVE-2022-35882）
一、漏洞描述：     
       
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
        WordPress plugin GS Testimonial Slider 1.9.1版本及之前版本存在跨站脚本漏洞。攻击者利用该漏洞执行跨站脚本攻击。

二、风险等级：
           高危
三、影响范围：
        WordPress plugin GS Testimonial Slider 1.9.1版本及之前版本
四、修复建议：
        目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
        https://wordpress.org/plugins/gs-testimonial/#developers

---

2 Synology CardDAV Server SQL注入漏洞 （CVE-2022-27613）
一、漏洞描述：     
       
        Synology CardDAV Server是中国Synology公司的一个联系人管理包。可让您同步和访问 Synology NAS 上的地址簿。
        Synology CardDAV Server 6.0.10-0153之前版本存在SQL注入漏洞，该漏洞源于webapi组件对 SQL 命令（SQL 注入）使用的特殊元素的不当消除，远程攻击者利用该漏洞可以通过未指定的向量注入 SQL 命令。
二、风险等级：
          高危
三、影响范围：
        Synology CardDAV Server 6.0.10-0153之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.synology.cn/zh-cn/security/advisory/Synology_SA_21_06

---

3 DD-WRT 输入验证错误漏洞（ CVE-2022-27631）
一、漏洞描述：     
       
        DD-WRT是DD-WRT开源的一种基于 Linux 的替代开源固件。适用于各种 WLAN 路由器和嵌入式系统。
        DD-WRT 32270到48599修订版本存在输入验证错误漏洞，该漏洞源于特制的 HTTP 请求可能导致内存损坏。
二、风险等级：
           中危
三、影响范围：
        DD-WRT 32270到48599修订版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://dd-wrt.com/

---

4 Synology Media Server 信息泄露漏洞（CVE-2022-27614）
一、漏洞描述：     
       
        Synology Media Server是一个媒体服务器。
        Synology Media Server 1.8.1-2876之前版本存在信息泄露漏洞，该漏洞源于Web 服务器中的敏感信息暴露给未经授权的攻击者，远程攻击者利用该漏洞可以通过未指定的向量获取敏感信息。
二、风险等级：
           高危
三、影响范围：
         Synology Media Server 1.8.1-2876之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.synology.cn/zh-cn/security/advisory/Synology_SA_20_24