CNNVD最新漏洞（2019-01-07）

今日CNNVD共发布安全漏洞32个，更新安全漏洞28个。主要影响厂商为中国福昕（6个）、中国晶睿通讯（3个）、美国IBM（2个）。主要影响产品为Foxit Reader for Windows文档阅读器（6个）、VIVOTEK Network Camera Series网络摄像机（3个）、IBM i Access for Windows解决方案（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】Foxit Reader和PhantomPDF for Windows 安全漏洞

【漏洞编号】CNNVD-201901-071（CVE-2019-5005）

【漏洞详情】Foxit Reader for Windows是中国福昕（Foxit）软件公司的一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF for Windows是它的商业版。

基于Windows平台的Foxit Reader 9.3.0.10826及之前版本和PhantomPDF 9.3.0.10826及之前版本中存在安全漏洞，该漏洞源于两个字节被写入分配的内存的末尾，但没有判断此举是否会造成损坏。攻击者可借助图像数据利用该漏洞造成拒绝服务（应用程序崩溃）。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.foxitsoftware.com/support/security-bulletins.php

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-071

【漏洞名称】VIVOTEK Network Camera系列产品访问控制错误漏洞

【漏洞编号】CNNVD-201901-064（CVE-2018-18004）

【漏洞详情】VIVOTEK Network Camera Series是中国晶睿通讯（VIVOTEK）公司的一系列网络摄像机产品。

使用XXXXXX-VVTK-0X09a之前版本固件的VIVOTEK Network Camera系列产品中的mod_inetd.cgi文件存在访问控制错误漏洞。远程攻击者可借助URL参数利用该漏洞启用任意系统服务。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://download.vivotek.com/downloadfile/support/cyber-security/vvtk-sa-2018-006-v1.pdf

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-064

【漏洞名称】IBM i Access for Windows 安全漏洞

【漏洞编号】CNNVD-201901-079（CVE-2018-1888）

【漏洞详情】IBM i Access for Windows是美国IBM公司的一套提供访问和使用各种不同的Windows操作系统的桌面资源的客户端解决方案。 

IBM i Access for Windows 7.1版本中存在不可信的搜索路径漏洞。攻击者可借助当前工作目录中恶意的DLL利用该漏洞执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.ibm.com/support/docview.wss?uid=ibm10740233

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-079  

【漏洞名称】ZOHO ManageEngine ADSelfService Plus 安全漏洞

【漏洞编号】CNNVD-201901-061（CVE-2018-20664）

【漏洞详情】ZOHO ManageEngine ADSelfService Plus是美国卓豪（ZOHO）公司的一套基于Web的终端用户密码管理软件。

ZOHO ManageEngine ADSelfService Plus 5.x build 5701之前版本中存在XML外部实体注入漏洞。目前尚无此漏洞的相关信息，请随时关注CNNVD或厂商公告。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.manageengine.com/products/self-service-password/release-notes.html#5701

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-061

【漏洞名称】Dolibarr 跨站脚本漏洞

【漏洞编号】CNNVD-201901-054（CVE-2018-19992）

【漏洞详情】Dolibarr是法国Dolibarr基金会的一套基于Web的企业资源计划（ERP）和客户关系管理（CRM）系统。该系统可用来管理产品、库存、发票、订单等。

Dolibarr 8.0.2版本中存在跨站脚本漏洞。远程攻击者可通过向adherents/type.php文件发送‘address’或‘town’（POST）参数利用该漏洞注入任意的Web脚本或HTML。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/Dolibarr/dolibarr/commit/0f06e39d23636bd1e4039ac61a743c79725c798b

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-054

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag