漏洞风险提示（20230801）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 IBM Security Verify Governance 命令执行漏洞(CVE-2023-35019)
一、漏洞描述：

        IBM Security Verify Governance，Identity Manager 可允许经过身份验证的远程攻击者通过发送特别构建的请求在系统上执行任意命令。
二、风险等级：
        高危
三、影响范围：
        IBM Security Verify Governance =10.0.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7014397

---

2 ASUS RT-AX88U 拒绝服务漏洞(CVE-2023-34359)
一、漏洞描述：

        华硕RT-AX88U存在阻断服务(DoS)漏洞。远端攻击者可发送恶意HTTP请求，当执行do_json_decode()功能时，可能导致httpd执行功能中断，进而触发阻断服务(DoS)攻击。
二、风险等级：
        高危
三、影响范围：
        RT-AX88U <= 3.0.0.4.388_22525-gd35b8fe
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.asus.com/us/networki ... g-routers/rt-ax88u/

---

3 WordPress Plugin User Activity Log SQL注入漏洞(CVE-2023-2761)
一、漏洞描述：

        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress Plugin User Activity Log 1.6.3之前版本存在SQL注入漏洞，该漏洞源于参数txtsearch存在SQL注入漏洞。
二、风险等级：
        高危
三、影响范围：
        WordPress Transbank Webpay REST Plugin for WordPress = 1.6.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/user-activity-log/

---

4 Codesys目录权限漏洞(CVE-2023-3670)
一、漏洞描述：

        CODESYS Development System 3.5.9.0至3.5.17.0和CODESYS Scripting 4.0.0.0至4.1.0.0存在目录权限不安全漏洞。当攻击者具有本地访问工作站的权限时，可以将潜在有害且伪装成其他脚本的脚本放置到系统上，并可能被合法用户执行。
二、风险等级：
        高危
三、影响范围：
        3.5.9.0 <= CODESYS GmbH CODESYS Development System < 3.5.17.0
        4.0.0.0 <= CODESYS Scripting < 4.1.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.codesys.com/the-syst ... e-teaser-notes.html

---