漏洞风险提示(20231024)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress Rocket跨站请求伪造 (CSRF)
一、漏洞描述：

    Qwerty23 Rocket Font插件<=1.2.3版本存在跨站请求伪造(CSRF)漏洞。攻击者可以利用此漏洞在受影响的网站上执行未经 授权的操作，通过欺骗认证用户发送恶意请求。成功利用此漏洞可能导致用户信息泄露、未经授权的更改或其他恶意行为。
二、风险等级：
    高危
三、影响范围：
    Qwerty23 Rocket Font插件<=1.2.3
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://avd.aliyun.com/detail?id=AVD-2023-46067

---

2 VMware Fusion 安装程序本地权限提升
一、漏洞描述：

    VMware Fusion (13.x < 13.5) 存在一个本地特权提升漏洞。该漏洞会在首次安装时(用户需要将应用程序从'.dmg'卷拖动 或复制到文件夹中)或进行升级时发生。具有本地非管理员用户权限的恶意行为者可以利用此漏洞在安装或首次安装Fusion的系统中提升 权限至root。
二、风险等级：
    高危
三、影响范围：
    VMware Fusion < 13.5
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://avd.aliyun.com/detail?id=AVD-2023-34045

---

3 WordPress Wp Ultimate Review跨站请求伪造 (CSRF)
一、漏洞描述：

    Wpmet Wp Ultimate反馈插件的2.2.4及以下版本存在跨站请求伪造(CSRF)漏洞。攻击者可以利用该漏洞通过欺骗用户在登录状态下执行恶意操作，从而导致可能的安全风险，例如修改用户配置、删除评论或发起未经授权的请求等。
二、风险等级：
    高危
三、影响范围：
    WordPress Wp Ultimate Review 插件 <= 2.2.4
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://avd.aliyun.com/detail?id=AVD-2023-46085

---

4 oracle mysql CVE-2023-22115漏洞
一、漏洞描述：

    该漏洞容易受到高权限的攻击者通过多种协议进行网络访问并对MySQL服务器进行入侵。成功利用该漏洞可能导致未经授权 的能力，引发MySQL服务器的停止或频繁可复现的崩溃(完全拒绝服务)。
二、风险等级：
    高危
三、影响范围：
    Oracle MySQL<=8.0.33
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://avd.aliyun.com/detail?id=AVD-2023-22115

---