漏洞风险提示（20240108）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Nest WiFi Pro 代码执行(CVE-2023-6339)
一、漏洞描述：
       
        Google Nest Wifi Pro是一款支持三频Wi-Fi 6E的路由器，可实现更快的速度，每个路由器可连接100台设备，最多可连接300台设备。
        Google Nest Wifi Pro存在一个漏洞，攻击者可以利用该漏洞执行恶意代码并获取用户数据，通过利用漏洞，攻击者可以获取Root权限，并执行任意代码，从而对设备进行操控，此漏洞可能导致用户的敏感数据被泄露，包括登录凭据、个人信息和敏感文件。
二、风险等级：
        高危
三、影响范围：
        Google Nes Wifi Pro
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.google.com/googlenest/answer/7188572

---

2 Google Chrome ANGLE 堆缓冲区溢出漏洞(CVE-2024-0223)
一、漏洞描述：
       
        Google Chrome 是 Google 公司开发的网页浏览器，ANGLE 是 Google Chrome 中用于提供图形API的库，包括 OpenGLES 和 Vulkan，广泛用于图形渲染和游戏应用中。
        Google Chrome 120.0.6099.199之前的 ANGLE 存在堆缓冲区溢出漏洞，攻击者可诱导用户访问恶意制作的 HTML 页面远程执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Google Chrome < 120.0.6099.199
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.google.cn/chrome/

---

3 极致CMS 命令执行漏洞(CVE-2023-51154)
一、漏洞描述：
       
        极致CMS是开源免费的PHPCMS网站内容管理系统。
        极致CMS v2.5被发现通过组件/admin/c/PluginsController.php包含任意文件下载漏洞，配合zip解压功能访问恶意php文件达到命令注入漏洞。
二、风险等级：
        高危
三、影响范围：
        极致CMS <= v2.5.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/Cherry-toto/jizhicms/releases/

---

4 Tenda AX3 命令注入漏洞(CVE-2023-51812)
一、漏洞描述：
       
        Tenda AX3是中国腾达（Tenda）公司的一款无线路由器。
        Tenda AX3 v16.03.12.11 通过/goform/SetNetControlList中的列表参数导致远程代码执行（RCE）漏洞。
二、风险等级：
        高危
三、影响范围：
        Tenda AX3 <= v16.03.12.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.tenda.com.cn/download/detail-3476.html

---