漏洞风险提示（20240119）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress Plugin Post Grid Combo 存储型跨站脚本漏洞(CVE-2023-6645)
一、漏洞描述：
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
        WordPress plugin是一个应用插件。WordPress Plugin Post Grid Combo 2.2.64 版本及之前版本存在安全漏洞，该漏洞源于输入清理和输出转义不足，JS 参数存在存储型跨站脚本漏洞。
二、风险等级：
        高危
三、影响范围：
        WordPress Plugin Post Grid Combo 2.2.64
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.wordfence.com/threat ... 784107fa?source=cve

---

2 Pimcore 未授权漏洞(CVE-2024-21665)
一、漏洞描述：
       
        Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。
        Pimcore Ecommerce Framework Bundle 1.0.7及之前版本存在安全漏洞，该漏洞源于没有执行访问控制和权限检查，导致未经授权的攻击者可以访问后台订单列表。
二、风险等级：
        高危
三、影响范围：
        Pimcore Ecommerce Framework Bundle <= 1.0.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/pimcore/ecomm ... 5cf686f468afd1f464e

---

3 IBM AIX和IBM VIOS 输入验证错误漏洞(CVE-2023-45173)
一、漏洞描述：
       
        IBM AIX和IBM Vios都是美国国际商业机器（IBM）公司的产品。IBM AIX是一款为 IBM Power 体系架构开发的一种基于开放标准的 UNIX 操作系统。IBM Vios是PowerVm&#174; Editions 硬件功能的一部分。有助于在服务器内的客户端逻辑分区之间共享物理 I/O 资源。
        IBM AIX 7.2、7.3版本和 VIOS 3.1 版本存在输入验证错误漏洞，该漏洞源于可能允许非特权本地用户利用 NFS 内核扩展中的漏洞导致拒绝服务。
二、风险等级：
        高危
三、影响范围：
        IBM AIX 7.2
        IBM AIX 7.3
        IBM VIOS 3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7105282

---

4 CDO Local UUID Utility 信息泄露漏洞(CVE-2024-22194)
一、漏洞描述：
       
        CDO Local UUID Utility是一个专门的 UUID 生成函数，可以根据用户请求使程序生成确定性 UUID。
        CDO Local UUID Utility 0.15.0之前版本存在安全漏洞，该漏洞源于case-utils中存在信息泄漏漏洞。
二、风险等级：
        高危
三、影响范围：
        CDO Local UUID Utility < 0.15.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/Cyber-Domain- ... GHSA-rgrf-6mf5-m882

---