漏洞风险提示（20250423）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress UrbanGo Membership插件权限提升漏洞（CVE-2025-3278）
一、漏洞描述：
       
        WordPress的UrbanGo Membership插件在1.0.4及1.0.4及以上版本中容易受到权限提升的影响。这是因为该插件允许注册新帐户的用户设置自己的角色或通过提供'user_register_role'字段。这使得未经身份验证的攻击者可以通过创建具有管理员角色的账户来获得提升的权限。
二、风险等级：
        高
三、影响范围：
        UrbanGo<=1.0.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://themeforest.net/item/urb ... ress-theme/22712624

---

2 H3C GR-3000AX aspForm Edit_List_SSID缓冲区溢出漏洞（CVE-2025-3854）
一、漏洞描述：
       
        在H3C GR-3000AX（直至 V100R006 版本）中发现了一个被归类为严重级别的漏洞。受影响的是名为“/goform/aspForm”的组件HTTP POST请求处理程序文件中的“EnableIpv6/UpdateWanModeMulti/UpdateIpv6Params/EditWlanMacList/Edit_List_SSID”这一功能。参数“param”的操作会导致缓冲区溢出。攻击需要在本地网络内发起。
二、风险等级：
        高
三、影响范围：
        GR-3000AX = V100R006
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.h3c.com/cn/Service/D ... ad/Consume_product/

---

3 IBM i操作系统权限提升漏洞（CVE-2025-2947）
一、漏洞描述：
       
        IBM i操作系统是一种高度集成、可靠且功能强大的企业级操作系统，广泛应用于IBM Power Systems服务器，主要用于支持企业的业务处理和数据管理需求。
        IBM i操作系统7.6版本中存在权限提升漏洞。该漏洞是由于操作系统命令中错误的用户配置文件交换机制导致的。攻击者可以利用该漏洞提升权限，进而获取主机操作系统的root访问权限。
二、风险等级：
        高
三、影响范围：
        IBM i 7.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7231025

---

4 WordPress WP-BusinessDirectory插件跨站脚本漏洞（CVE-2025-32630）
一、漏洞描述：
       
        WP-BusinessDirectory是一款功能强大的WordPress插件，专为企业目录、组织、活动、医疗医生等各类目录和分类广告而设计。它提供了丰富的功能和高度的可定制性，能够帮助用户轻松创建和管理专业的企业目录网站。
        WordPress WP-BusinessDirectory插件在3.1.2及之前版本中存在跨站脚本漏洞。该漏洞是由于插件在处理用户输入时未能正确中和输入内容，导致攻击者可以通过构造恶意的URL或表单提交，将恶意脚本注入到网页中。当这些脚本被浏览器执行时，攻击者可以窃取用户会话信息、修改网页内容或执行其他恶意操作。
二、风险等级：
        高
三、影响范围：
        WP-BusinessDirectory <=3.1.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.com/plugins/wp-businessdirectory

---