漏洞风险提示（20240702)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 MasterStudy LMS WordPress Plugin SQL注入漏洞(CVE-2024-1512)
一、漏洞描述：     
       
        MasterStudy 是一个免费的 WordPress LMS 插件，用于在线学习业务。WordPress LMS插件将任何常规WP网站变成具有所有必要电子学习和LMS功能的在线学校。这个 WordPress LMS 插件提供了广泛的工具，用于在线创建、管理和销售课程。作为用于电子学习的顶级 LMS 插件，它支持多媒体课程、测验和学生进度跟踪;它是教育工作者和机构的理想选择。WordPress LMS 插件 MasterStudy存在SQL注入漏洞，未授权的攻击者可以通过该漏洞拼接执行恶意SQL语句，从而获取数据敏感信息。
二、风险等级：
        高危
三、影响范围：
        MasterStudy <= 3.2.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/ma ... -management-system/

---

2 Quiz Maker SQL注入漏洞(CVE-2024-6028)
一、漏洞描述：     
       
        Quiz Maker是WordPress的一个功能强大的插件，用于创建和管理在线测验和调查问卷。它提供了许多有用的功能，使您能够轻松地创建各种类型的测验，包括选择题、填空题、判断题等。Quiz Maker存在SQL注入漏洞，未授权的攻击者可以通过该漏洞执行恶意SQL语句，从而获取数据库敏感信息。
二、风险等级：
        高危
三、影响范围：
        Quiz Maker <= 6.5.8.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/quiz-maker/#developers

---

3 GitLab 跨站脚本漏洞（CVE-2024-4901）
一、漏洞描述：     
       
        GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。GitLab CE/EE 16.9 到 16.11.5、17.0到 17.0.3 、17.1到 17.1.1版本存在跨站脚本漏洞，该漏洞源于可以从带有恶意提交注释的项目导入跨站脚本。
二、风险等级：
        高危
三、影响范围：
        GitLab CE/EE 16.9 - 16.11.5
        GitLab CE/EE17.0 - 17.0.3
        GitLab CE/EE17.1 - 17.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gitlab.com/gitlab-org/gitlab/

---

4 Cisco Expressway Series跨站请求伪造漏洞（CVE-2024-20252）
一、漏洞描述：     
       
        Cisco Expressway Series是美国思科（Cisco）公司的一款用于防火墙外访问设备的软件，该软件为防火墙外的用户提供了简单、高度安全的访问功能，帮助远程办公人员在他们选择的设备上更有效地工作。Cisco Expressway Series存在跨站请求伪造漏洞，远程攻击者利用该漏洞执行跨站点请求伪造攻击，从而在受影响的设备上执行任意操作。
二、风险等级：
        高危
三、影响范围：
        Cisco Cisco Expressway Series
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://sec.cloudapps.cisco.com/ ... co-sa-expressway-cs