2024-HW最新漏洞整理及相应解决方案（二）

目录

前言：

漏洞

1.用友NC系统电采complainjudge接口的sql注入漏洞

2.用友U8+ CRM产品存在SQL注入漏洞

3.WordPress LMS 插件任意文件上传漏洞

4.Oracle Fusion Middleware 安全漏洞CVE-2024-21181

5.WordPress plugin LearnPress 安全漏洞CVE-2024-6589

6.WordPress plugin AMP for WP – Accelerated Mobile Pages 跨站点脚本漏洞

7.Dell Edge Gateway 缓冲区错误漏洞CVE-2023-32471

8.拓尔思-TRS媒资管理系统-任意文件上传漏洞

9.Red Hat OpenShift Container Platform 访问控制错误漏洞CVE-2024-7079

---

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动，由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果均与文章作者及本账号无关，本次测试仅供学习使用。如有内容争议或侵权，请及时私信我们！我们会立即删除并致歉。谢谢！

前言：

漏洞是基于部分安全厂家、软件厂商的公众号或官方网站，以及一些非官方渠道等途径整理的HW安全漏洞情报，情报里附含漏洞详情和解决方案。护网期间我将持续更新分享，希望可以在护网期间帮助到大家

漏洞

1.用友NC系统电采complainjudge接口的sql注入漏洞

用友安全中心

2.用友U8+ CRM产品存在SQL注入漏洞

用友安全中心

3.WordPress LMS 插件任意文件上传漏洞

LearnPress – WordPress LMS Plugin <= 4.2.6.5 - Authenticated (Instructor+) Arbitrary File Upload

4.Oracle Fusion Middleware 安全漏洞CVE-2024-21181

关于Oracle WebLogic Server T3/IIOP远程命令执行漏洞 (CVE-2024-21181) - 安全通告 - 安全研究 - 湖南中测网安信息技术有限公司

5.WordPress plugin LearnPress 安全漏洞CVE-2024-6589

LearnPress <= 4.2.6.8.2 - Authenticated (Contributor+) Local File Inclusion

6.WordPress plugin AMP for WP – Accelerated Mobile Pages 跨站点脚本漏洞

AMP for WP – Accelerated Mobile Pages <= 1.0.96.1 - Authenticated (Author+) Stored Cross-Site Scripting via SVG File Upload

7.Dell Edge Gateway 缓冲区错误漏洞CVE-2023-32471

DSA-2023-225: Security Update for Dell BIOS Edge Gateway 5200 and Edge Gateway 3200 | Dell US

8.拓尔思-TRS媒资管理系统-任意文件上传漏洞

（1）目前暂未监控到官方发布安全通告，请咨询官方漏洞解决方案。
（2）在确定不存在业务的前提下，限制访问/mas/servlets/uploadThumb路径。
（3）收敛暴露面，控制组件不对外开放。

9.Red Hat OpenShift Container Platform 访问控制错误漏洞CVE-2024-7079

cve-details