CNNVD最新漏洞（2018-01-15）

今日CNNVD共发布安全漏洞51个，更新安全漏洞12个。主要影响厂商为中国普联（9个）、美国Microsoft（8个）、苏格兰DragonByte Technologies（4个），主要影响产品为TP-Link WVR、WAR和ER devices路由器产品（9个）、Microsoft Office办公软件（7个）、DragonByte Technologies vBDownloads for vBulletin下载模块（4个）。

今日需关注的典型漏洞如下:

【漏洞名称】TP-Link WVR、WAR和ER设备安全漏洞

【漏洞编号】CNNVD-201801-423（CVE-2017-15621）

【漏洞详情】TP-Link WVR、WAR和ER devices都是中国普联（TP-LINK）公司的不同系列的路由器产品。

TP-Link WVR、WAR和ER设备中存在安全漏洞。远程攻击者可通过向interface_wan.lua文件的olmode变量注入命令利用该漏洞执行任意命令。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

http://www.tp-link.com/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-423

【漏洞名称】Microsoft Office Equation Editor 安全漏洞

【漏洞编号】CNNVD-201801-387（CVE-2018-0812）

【漏洞详情】Microsoft Office是美国微软（Microsoft）公司开发的一款办公软件套件产品。Equation Editor是其中的一个公式编辑器。

Microsoft Office中的Equation Editor存在远程代码执行漏洞，该漏洞源于程序没有正确的处理内存中的对象。远程攻击者可借助带有受影响Microsoft Office或Microsoft WordPad软件的特制文件利用该漏洞在当前用户的上下文中执行任意代码。以下版本受到影响：Microsoft Office 2007 SP3，Microsoft Office 2010 SP2，Microsoft Office 2013 SP1，Microsoft Office 2016，Microsoft Office 2016 Click-to-Run (C2R)，Microsoft Office Compatibility Pack P3，Microsoft Word 2007 SP3，Microsoft Word 2010 SP2，Microsoft Word 2013 RT SP1，Microsoft Word 2013 SP1，Microsoft Word 2016。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0812

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-387

【漏洞名称】DragonByte Technologies vBDownloads for vBulletin 跨站脚本漏洞

【漏洞编号】CNNVD-201801-412（CVE-2012-6682）

【漏洞详情】DragonByte Technologies vBDownloads for vBulletin是苏格兰DragonByte Technologies公司的一款用于vBulletin（开源商业Web论坛程序）的下载模块。

DragonByte Technologies vBDownloads for vBulletin 1.3.2及之前的版本中的downloads/actions/editdownload.php文件存在跨站脚本漏洞。远程攻击者可借助‘mirrors[]’参数利用该漏洞注入任意的Web脚本或HTML。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.dragonbyte-tech.com/f4/vbactivity-vbshout-forumon-rpg-vbdownloads-vbquiz-updates-security-releases-6876/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-412

【漏洞名称】Android Qualcomm Microphone驱动程序信息泄露漏洞

【漏洞编号】CNNVD-201801-359（CVE-2017-15850）

【漏洞详情】Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Qualcomm Microphone driver是其中的一个美国高通（Qualcomm）公司的麦克风驱动程序。

Android中的Qualcomm Microphone驱动程序存在信息泄露漏洞。攻击者可利用该漏洞读取信息。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://source.android.com/security/bulletin/pixel/2018-01-01

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-359

【漏洞编号】CNNVD-201801-417（CVE-2017-1740）

【漏洞详情】IBM Curam Social Program Management（SPM）是美国IBM公司的一套社会计划管理解决方案。该方案支持终端到终端社会项目交付的过程。

IBM Curam SPM中存在跨站脚本漏洞。远程攻击者可利用该漏洞向Web UI注入任意的JavaScript代码。以下版本受到影响：IBM Cúram Social Program Management 7.0.2.0版本至7.0.2.0版本，7.0.0.0版本至7.0.1.1，6.2.0.0版本至6.2.0.6版本，6.1.0.0版本至6.1.1.6版本，6.0.5.0版本至6.0.5.10版本。 

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www-01.ibm.com/support/docview.wss?uid=swg22012372

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-417

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag