漏洞风险提示（20260123）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 D-Link DWR-M920 sub_42261C函数堆栈缓冲区溢出漏洞
一、漏洞描述：
        
        D-Link DWR-M920是一款由友讯（D-Link）公司生产的4GLTE无线路由器。
        D-Link DWR-M920存在堆栈缓冲区溢出漏洞，该漏洞源于对文件/boafrm/formFilter的函数sub_42261C中参数ip6addr的错误操作，目前没有详细的漏洞细节提供。
二、风险等级：
        高
三、影响范围：
        D-Link DWR-M920 ≤1.1.50
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.dlink.com/

---

2 GNU InetUtils Telnetd远程认证绕过漏洞
一、漏洞描述：
        
        GNU InetUtils telnetd是GNU InetUtils套件中的远程登录服务守护进程，监听TCP 23端口，为客户端提供基于Telnet协议的明文终端接入能力。
        GNU InetUtils Telnetd存在远程认证绕过漏洞，攻击者可利用该漏洞通过设置USER环境变量为"-froot"实现远程认证绕过，在无需任何口令的情况下直接获取目标主机的root shell。
二、风险等级：
        高
三、影响范围：
        Gnu GNU Inetutils ≥1.9.3，≤ 2.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.openwall.com/lists/oss-security/2026/01/20/2

---

3 node-tar竞争条件漏洞（CVE-2025-64118）
一、漏洞描述：
        
        node-tar是isaacs个人开发者的一款用于文件压缩/解压缩的软件包。
        node-tar 7.5.1版本存在竞争条件漏洞，攻击者可利用该漏洞窃取敏感数据。
二、风险等级：
        高
三、影响范围：
        node-tar node-tar 7.5.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/isaacs/node-t ... GHSA-29xp-372q-xqph

---

4 WordPress plugin Masterstudy Elementor Widgets授权错误漏洞（CVE-2025-64211）
一、漏洞描述：
        
        WordPress和WordPress plugin都是WordPress基金会的产品，WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能，WordPress plugin是一个应用插件。
        WordPress plugin Masterstudy Elementor Widgets 1.2.4及之前版本存在授权错误漏洞，该漏洞源于此插件未进行正确授权、身份认证或随机令牌检查，攻击者可利用该漏洞获取更高用户权限。
二、风险等级：
        高
三、影响范围：
        WordPress plugin Masterstudy Elementor Widgets ≤ 1.2.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://patchstack.com/database/ ... ability-2?_s_id=cve

---