漏洞风险提示（20240313）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)
一、漏洞描述：
       
        Progress OpenEdge是一个应用程序开发和部署平台套件。OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理。
        当OpenEdge Authentication Gateway配置了OpenEdge 域，该域使用操作系统本地身份验证提供程序在 OpenEdge 活动版本支持的操作平台上授予用户ID和密码登录权限时，身份验证例程中存在漏洞，可能绕过身份验证导致未授权访问。
        此外，当 OpenEdge Explorer (OEE) 和 OpenEdge Management (OEM) 建立 AdminServer连接时，它也会利用受支持平台上的操作系统本地身份验证提供程序来授予用户ID和密码登录权限，也可能受该漏洞影响导致未经授权的登录访问。
二、风险等级：
        高危
三、影响范围：
        OpenEdge版本<= 11.7.18
        OpenEdge版本<= 12.2.13
        OpenEdge版本12.8.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.progress.com/trial-openedge

---

2 phlex 跨站脚本漏洞(CVE-2024-28199)
一、漏洞描述：
       
        phlex是用于在 Ruby 中构建面向对象视图的框架。phlex 1.9.1之前版本存在跨站脚本漏洞，该漏洞源于代码中未正确区分大小写，导致跨站脚本。
二、风险等级：
        高危
三、影响范围：
        phlex < 1.9.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/phlex-ruby/ph ... GHSA-242p-4v39-2v8g

---

3 WordPress Plugin Starbox存储型跨站脚本漏洞(CVE-2024-1273)
一、漏洞描述：
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
        WordPress plugin是一个应用插件。WordPress Plugin Starbox 3.5.0之前版本存在安全漏洞，该漏洞源于存在存储型跨站脚本（XSS）漏洞。
二、风险等级：
        高危
三、影响范围：
        WordPress Plugin Starbox < 3.5.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/starbox/

---

4 Google Pixel身份认证绕过漏洞(CVE-2024-22005)
一、漏洞描述：
       
        Google Pixel是美国谷歌（Google）公司的一款智能手机。Google Pixel 存在安全漏洞，该漏洞源于 TBD 模块存在加密使用不当，可能会出现身份验证绕过的情况。
二、风险等级：
        高危
三、影响范围：
        Google Pixel
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://source.android.com/security/bulletin/pixel/2024-03-01

---