漏洞风险提示（20250107）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 OpenBlocks身份验证绕过漏洞（CVE-2026-21411）
一、漏洞描述：
        
        OpenBlock是一款基于Scratch 3.0开发的图形化编程软件。
        攻击者可在相邻网络环境下，利用系统中存在的备用认证路径，无需合法凭证即可绕过身份验证机制，进而获取管理员权限并修改系统密码。
二、风险等级：
        高
三、影响范围：
        FW5.0.8 之前的所有版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.plathome.co.jp/

---

2 iccDEV 无限循环漏洞（CVE-2026-21507）
一、漏洞描述：
        
        iccDEV提供了一套 开源的库和工具，支持 交互、作和 应用基于 ICC配置文件规范和ICCMAX配置文件规范的色彩管理配置文件。
        攻击者可通过构造恶意的 ICC 颜色配置文件（.icc 文件），在调用CalProfileID函数时触发无限循环，导致目标系统资源（CPU、内存）被耗尽，从而引发服务不可用。
二、风险等级：
        高
三、影响范围：
        2.3.1 及以下版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/InternationalColorConsortium/iccDEV/issues/244

---

3 WordPress URL Image Importer 漏洞（CVE-2025-14120）
一、漏洞描述：
        
        URL Image Importer 是一款 WordPress 插件，允许 你直接从任何外部 URL 导入图片到你的媒体库。
        攻击者需具备“作者”及以上权限的已认证用户身份，通过上传恶意 SVG 文件（利用其未充分过滤的特性），在服务器上持久化注入恶意 JavaScript 代码。当其他用户访问该 SVG 文件时，恶意脚本将在其浏览器中执行，实现跨站脚本攻击。
二、风险等级：
        高
三、影响范围：
        WordPress URL Image Importer 插件，受影响版本为1.0.7 及之前所有版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://plugins.trac.wordpress.o ... e-importer.php#L176

---

4 AIOHTTP 日志风暴漏洞（CVE-2025-69230）
一、漏洞描述：
        
        aiohttp 是一个基于 asyncio 的异步 HTTP 客户端与服务器框架，支持 高并发非阻塞 I/O，适合构建高性能 Web 应用、API 客户端以及实时通信服务。
        攻击者可发送包含大量非法或格式错误的 Cookie 请求头。
二、风险等级：
        高
三、影响范围：
        3.13.2 及以下版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/aio-libs/aioh ... GHSA-fh55-r93g-j68g

---