漏洞风险提示（20221101）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1Google Android权限许可和访问控制问题漏洞（CVE-2022-20124）
一、漏洞描述：     
       
        Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。
        Google Android存在权限许可和访问控制问题漏洞，攻击者可利用该漏洞导致本地权限提升。

二、风险等级：
           高危
三、影响范围：
        Google Android 12L
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://source.android.com/security/bulletin/2022-06-01

---

2SEMCMS SQL注入漏洞（CVE-2021-38733）
一、漏洞描述：     
       
        SEMCMS是一套支持多种语言的外贸网站内容管理系统（CMS）。
        SEMCMS SHOP 1.1 版本存在SQL注入漏洞，该漏洞源于 Ant_BlogCat.php 存在 SQL 注入问题。
二、风险等级：
          高危
三、影响范围：
        SEMCMS SHOP 1.1 版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/BigTiger2020/SCSHOP/blob/main/semcms-7.md

---

3F5 BIG-IP代码问题漏洞（CVE-2022-23020）
一、漏洞描述：     
       
        F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS，远程接入策略管理等功能的应用交付平台。
        F5 BIG-IP存在代码问题漏洞，攻击者可利用该漏洞导致拒绝服务。
二、风险等级：
          高危
三、影响范围：
        F5 BIG-IP (all modules) >=16.1.0，<=16.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.f5.com/csp/article/K40084114

---

4WordPress plugin Web Stories 代码问题漏洞(CVE-2022-3708)
一、漏洞描述：     
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
        WordPress plugin Web Stories 1.24.0及以前的版本存在代码问题漏洞，该漏洞源于其/v1/hotlink/proxy REST API端点的 url 参数对URL验证不足使得通过身份验证的用户可以向来自web应用程序的任意位置发出web请求，并可用于查询和修改来自内部服务的信息。
二、风险等级：
           高危
三、影响范围：
        WordPress plugin Web Stories 1.24.0及以前
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.wordfence.com/vulner ... nued/#CVE-2022-3708