漏洞风险提示（20240428）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ReCrystallize Server 身份认证绕过漏洞(CVE-2024-26331)
一、漏洞描述：     
       
        ReCrystallize Server是一款功能强大的服务器软件，它提供了丰富的功能和特性，以满足用户在数据管理和处理方面的需求。
        ReCrystallize Server存在身份认证绕过漏洞，未授权的攻击者可以通过该漏洞绕过身份验证获取管理员权限。
二、风险等级：
        高危
三、影响范围：
        ReCrystallize Server
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.recrystallize.com/

---

2 RaidenMAILD 邮件服务器 路径遍历漏洞(CVE-2024-32399)
一、漏洞描述：     
       
        RaidenMAILD是一款功能丰富且易于使用的电子邮件服务器软件，适合各种规模的机构和个人使用。
        RaidenMAILD 邮件服务器存在路径遍历漏洞，未授权的攻击者可以通过该漏洞读取服务器任意文件，从而获取服务器敏感信息。
二、风险等级：
        高危
三、影响范围：
        RaidenMAILD Mail Server v.4.9.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.raidenmaild.com

---

3 WordPress plugin Advanced Search插件SQL注入漏洞（CVE-2024-3265）
一、漏洞描述：     
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
        WordPress plugin Advanced Search 1.1.6版本及之前版本存在安全漏洞，该漏洞源于无法正确转义附加到 SQL 查询的参数，使得具有管理员角色的用户可以进行 SQL 注入攻击。
二、风险等级：
        高危
三、影响范围：
        WordPress plugin Advanced Search <= 1.1.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wpscan.com/vulnerability ... -a944-4e3494d6594d/

---

4 ChangeDetection.io远程命令执行漏洞（CVE-2024-32651）
一、漏洞描述：     
       
        Changedetection.io是dgtlmoon个人开发者的一个网站变更检测、监控和通知应用程序。
        ChangeDetection.io 21.045之前版本存在安全漏洞，该漏洞源于使用 Jinja2 的不安全功能而导致服务器端模板注入，允许在服务器主机上执行远程命令。
二、风险等级：
        高危
三、影响范围：
        ChangeDetection.io < 21.045
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/dgtlmoon/chan ... GHSA-4r7v-whpg-8rx3