漏洞风险提示（20260122）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ASUS Armoury Crate后置链接漏洞（CVE-2025-9968）
一、漏洞描述：
        
        ASUS Armoury Crate是中国华硕（ASUS）公司的一款软件实用程序，旨在提供对支持的 ROG 游戏产品的集中控制。
        ASUS Armoury Crate存在后置链接漏洞，攻击者可利用该漏洞提升本地权限。
二、风险等级：
        高
三、影响范围：
        ASUS Armoury Crate
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.asus.com/security-advisory/

---

2 Astro跨站脚本漏洞（CVE-2025-64764）
一、漏洞描述：
        
        Astro是Astro开源的一个内容驱动网站的web框架。
        Astro 5.15.8之前版本存在跨站脚本漏洞，攻击者可利用该漏洞在使用服务器岛屿功能时发起跨站脚本攻击，导致恶意代码执行。
二、风险等级：
        高
三、影响范围：
        Astro Astro ≤ 5.15.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/withastro/astro/releases

---

3 Lynx Twonky Server身份认证绕过漏洞（CVE-2025-13315）
一、漏洞描述：
        
        Twonky Server是美国Lynx公司的一个DLNA/UPnP媒体服务器。
        Twonky Server 8.5.2版本存在身份认证绕过漏洞，该漏洞源于访问控制不当，攻击者可利用该漏洞绕过Web服务API的身份验证控制，获取日志文件并读取管理员用户名和加密密码，导致信息泄漏。
二、风险等级：
        高
三、影响范围：
        Lynx Twonky Server 8.5.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lynx.browser.org/

---

4 WordPress plugin WP Scraper服务器端请求伪造漏洞（CVE-2025-9975）
一、漏洞描述：
        
        WordPress和WordPress plugin都是WordPress基金会的产品，WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能，WordPress plugin是一个应用插件。
        WordPress plugin WP Scraper 5.8.1及之前版本存在服务器端请求伪造漏洞，在拥有管理员权限或更高权限的情况下，经过身份认证的攻击者可利用该漏洞查询和修改内部服务信息。
二、风险等级：
        高
三、影响范围：
        WordPress Plugin WP Scraper ≤ 5.8.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://plugins.trac.wordpress.o ... wp-scraper.php#L688

---