CNNVD最新漏洞（2018-01-23）

今日CNNVD共发布安全漏洞35个，更新安全漏洞23个。主要影响厂商为美国Cisco（25个）、美国Apache（1个）、澳大利亚Atlassian（1个），主要影响产品为Cisco WebEx Meetings Server（CWMS）多功能会议解决方案（5个）、Apache Guacamole远程桌面网关（1个）、Atlassian Jira缺陷跟踪管理系统（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】Cisco WebEx Meetings Server 信息泄露漏洞

【漏洞编号】CNNVD-201801-611（CVE-2018-0111）

【漏洞详情】Cisco WebEx Meetings Server（CWMS）是美国思科（Cisco）公司的WebEx会议方案中的一套包含音频、视频和Web会议的多功能会议解决方案。

CWMS中存在信息泄露漏洞，该漏洞源于程序没有限制内部网络信息。远程攻击者可通过使用可用的资源利用该漏洞访问有关应用程序的敏感信息。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvg46806

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-611

【漏洞名称】Apache Guacamole terminal emulator 缓冲区错误漏洞

【漏洞编号】CNNVD-201801-802（CVE-2017-3158）

【漏洞详情】Apache Guacamole是美国阿帕奇（Apache）软件基金会的一款无客户端远程桌面网关，它支持标准协议，如VNC，RDP和SSH等。terminal emulator是其中的一个终端模拟器。

Apache Guacamole terminal emulator 0.9.5版本至0.9.10-incubating版本中存在缓冲区溢出漏洞。攻击者可利用该漏洞执行代码或造成拒绝服务。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://guacamole.apache.org/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-802

【漏洞名称】Atlassian Jira 跨站请求伪造漏洞

【漏洞编号】CNNVD-201801-803（CVE-2017-18033）

【漏洞详情】Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。Jira-importers-plugin是其中的一个用于提供Atlassian产品的核心功能的插件。

Atlassian Jira 7.6.1之前版本中的Jira-importers-plugin存在跨站请求伪造漏洞。远程攻击者可利用该漏洞创建新的项目，并终止正在执行的外部系统导出。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://jira.atlassian.com/browse/JRASERVER-66643

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-803

【漏洞名称】jQuery 安全漏洞

【漏洞编号】CNNVD-201801-797（CVE-2016-10707）

【漏洞详情】jQuery是美国程序员John Resig所研发的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作，并具有模块化、插件扩展等特点。

jQuery 3.0.0之前版本中存在拒绝服务漏洞，该漏洞源于程序移除了用于将属性名变成小写的逻辑。攻击者可利用该漏洞造成拒绝服务（无限递归）。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://jquery.com/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-797

【漏洞编号】CNNVD-201801-800（CVE-2018-5776）

【漏洞详情】WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。MediaElement是使用在其中的一个HTML5播放器。

WordPress 4.9.2之前版本中的MediaElement的Flash fallback文件存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wordpress.org/news/2018/01/wordpress-4-9-2-security-and-maintenance-release/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-800

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag