CNNVD最新漏洞（2019-01-25）

今日CNNVD共发布安全漏洞48个，更新安全漏洞5个。主要影响厂商为美国Cisco（26个）、美国Apple（2个）、美国McAfee（2个）。主要影响产品为Cisco Webex Business Suite WBS32 sites解决方案（5个）、Apple macOS Sierra操作系统（2个）、McAfee MVision Endpoint安全防护软件（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】Cisco Webex Network Recording Player和Webex Player for Windows 缓冲区错误漏洞

【漏洞编号】CNNVD-201901-851（CVE-2019-1637）

【漏洞详情】Cisco Webex Business Suite WBS32 sites等都是美国思科（Cisco）公司的视频会议解决方案。Cisco Webex Network Recording Player和Webex Player都是其中的用于播放视频会议记录的播放器。

基于Windows平台的Cisco Webex Network Recording Player和Webex Player中存在缓冲区错误漏洞，该漏洞源于程序错误地验证了ARF和WRF文件。攻击者可通过链接或邮件附件发送恶意的ARF或WRF文件并诱使用户打开该文件利用该漏洞在受影响系统的上下文中执行任意代码。以下产品受到影响：Cisco Webex Business Suite WBS32 sites；Webex Business Suite WBS33 sites；Webex Meetings Online；Webex Meetings Server。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-webex-rce

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-851

【漏洞名称】Apple macOS Sierra和macOS High Sierra Hypervisor 安全漏洞

【漏洞编号】CNNVD-201901-865（CVE-2018-4467）

【漏洞详情】Apple macOS Sierra是美国苹果（Apple）公司为Mac计算机所开发的一套专用操作系统。macOS High Sierra是它的下一代产品。Hypervisor（又名虚拟机器监视器，VMM）是一个运行在物理服务器和操作系统之间的中间软件层，它可允许多个操作系统和应用共享一套基础物理硬件。

Apple macOS Sierra 10.12.6版本和macOS High Sierra 10.13.6版本中的Hypervisor组件存在安全漏洞。攻击者可借助恶意的应用程序利用该漏洞提升权限（内存损坏）。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://support.apple.com/zh-cn/HT209446

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-865

【漏洞名称】McAfee MVision Endpoint 安全漏洞

【漏洞编号】CNNVD-201901-837（CVE-2019-3584）

【漏洞详情】McAfee MVision Endpoint是美国迈克菲（McAfee）公司的一套终端安全防护软件。

McAfee MVision Endpoint 1811 Update 1 (18.11.31.62)之前版本中存在安全漏洞。攻击者可利用该漏洞无需密码便可卸载MVision Endpoint。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://kc.mcafee.com/corporate/index?page=content&id=SB10265

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-837

【漏洞名称】Avaya IP Office one-x Portal组件跨站脚本漏洞

【漏洞编号】CNNVD-201901-839（CVE-2018-15614）

【漏洞详情】Avaya IP Office是美国Avaya公司的一套可堆叠、可扩展的单一小型企业通信系统。该系统可通过基于PC的单一门户管理语音通信、即时消息和电子邮件，并支持多种拖放式应用工具。one-x Portal是其中的一个基于Web的语音通信功能组件。

Avaya IP Office 10.0版本至10.1 SP3版本和11.0版本中的one-x Portal组件存在跨站脚本漏洞。远程攻击者可借助Conference Scheduler Service中的字段利用该漏洞执行恶意的脚本，捕获用户会话令牌或凭证。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://downloads.avaya.com/css/P8/documents/101054317

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-839

【漏洞名称】Citrix ADC and NetScaler Gateway 安全漏洞

【漏洞编号】CNNVD-201901-867（CVE-2019-6485）

【漏洞详情】Citrix ADC and NetScaler Gateway是美国思杰系统（Citrix Systems）公司的一款应用交付控制器。

Citrix ADC and NetScaler Gateway中存在安全漏洞。攻击者可利用该漏洞解密TLS流量。以下版本受到影响：Citrix ADC and NetScaler Gateway 12.1版本，12.0版本，11.1版本，11.0版本，10.5版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://support.citrix.com/article/CTX240139

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-867

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag