通告时间

2018/10/18

威胁级别

高危

漏洞编号

CNVD-2018-21192

来源

CNVD

更新来源

国家信息中心漏洞平台

影响范围

Cisco Wireless LAN Controllers

事件描述

Cisco Wireless LAN Controller（WLC）是美国思科（Cisco）公司的一款无线局域网控制器产品。该产品在无线局域网中提供安全策略、入侵检测等功能。

Cisco Wireless LAN Controller Software GUI权限提升漏洞，该漏洞是由于对来自远程TACACS服务器的TACACS响应中收到的特定TACACS属性的错误解析造成的。攻击者利用此漏洞可以通过TACACS对受影响设备上的GUI进行身份验证。成功利用可能允许攻击者在受影响的WLC上创建具有管理权限的本地用户帐户，并执行CLI中不允许的其他命令，并且应该被禁止。

应对措施

用户可联系供应商获得补丁信息：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181017-wlc-gui-privesc

通告时间

2018/10/18

威胁级别

高危

漏洞编号

CNVD-2018-21195

来源

CNVD

更新来源

国家信息中心漏洞平台

影响范围

Cisco Wireless LAN Controller

事件描述

Cisco Wireless LAN Controller Software存在目录遍历漏洞，该问题是由于在描述文件名和路径名的HTTP请求参数中对用户提供的输入未进行正确校验。攻击者利用此漏洞可以通过使用目录遍历技术提交到所需文件位置的路径。成功利用漏洞可能允许攻击者查看目标设备上的系统文件，这些文件可能包含敏感信息。

应对措施

用户可联系供应商获得补丁信息：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181017-wlc-traversal

通告时间

2018/10/18

威胁级别

高危

漏洞编号

CNVD-2018-21199

来源

CNVD

更新来源

国家信息中心漏洞平台

影响范围

libssh libssh >=0.6

libssh libssh <0.8.4

libssh libssh <0.7.6

事件描述

libssh是一个C函数库，用来实现SSH2协议。

Libssh服务器端存在身份验证绕过漏洞，通过向服务器提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务器正常启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息，攻击者可以在没有任何凭据的情况下成功进行身份验证。

应对措施

用户可联系供应商获得补丁信息：

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

通告时间

2018/10/18

威胁级别

高危

漏洞编号

CNVD-2018-21211

来源

CNVD

更新来源

国家信息中心漏洞平台

影响范围

Microsoft Edge 0

事件描述

Edge是微软操作系统附带的默认浏览器。

Microsoft Edge存在远程内存破坏漏洞。攻击者可以利用此漏洞在当前登录用户的上下文中执行任意代码。失败的攻击将导致拒绝服务条件。

应对措施

用户可联系供应商获得补丁信息：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8509

通告时间

2018/10/18

威胁级别

高危

漏洞编号

CNVD-2018-21212

来源

CNVD

更新来源

国家信息中心漏洞平台

影响范围

Microsoft ChakraCore 0

事件描述

ChakraCore是使用在其中的一个JavaScript引擎的开源核心组件，也可作为单独的JavaScript引擎使用。

Microsoft ChakraCore Scripting Engine存在远程内存破坏漏洞。攻击者可以利用此漏洞在当前登录用户的上下文中执行任意代码。失败的攻击将导致拒绝服务条件。

应对措施

用户可联系供应商获得补丁信息：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8500

通告时间

2018/10/18

威胁级别

高危

漏洞编号

CNVD-2018-21206

来源

CNVD

更新来源

国家信息中心漏洞平台

影响范围

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows Server 2008 SP2

Microsoft Windows 7 SP1

Microsoft Windows Windows Server 2012  

Microsoft Windows 8.1

Microsoft Windows RT 8.1 SP0

Microsoft Windows Server 2012 R2

Microsoft Windows 10

Microsoft Windows 10 1607

Microsoft Windows Server 2016

Microsoft Windows 10 1709

Microsoft Windows 10 1803

Microsoft Windows Server 1803

Microsoft Windows Server 1709

事件描述

Microsoft Windows 10等都是美国微软（Microsoft）公司发布的一系列操作系统。JET Database Engine是其中的一个底层数据库引擎。

Microsoft JET Database Engine中存在缓冲区溢出漏洞。远程攻击者可借助特制的Excel文件利用该漏洞控制受影响的系统。

应对措施

用户可联系供应商获得补丁信息：

http://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8392

通告时间

2018/10/18

威胁级别

高危

漏洞编号

CNVD-2018-21203

来源

CNVD

更新来源

国家信息中心漏洞平台

影响范围

Microsoft Baseline Security Analyzer 2.3

事件描述

Microsoft Baseline Security Analyzer是微软开发的安全检测程序，能检测漏洞及提供解决方案以及补丁下载地址。

Microsoft Baseline Security Analyzer存在XML外部实体注入漏洞。允许攻击者利用漏洞将本地文件泄露到远程攻击者控制的服务器。

应对措施

用户可联系供应商获得补丁信息：

https://www.microsoft.com/en-us/download/details.aspx?id=7558

1

Cisco Wireless LAN Controller Software GUI权限提升漏洞

CNVD

CNVD-2018-21192

2

Cisco Wireless LAN Controller Software信息泄露漏洞

CNVD

CNVD-2018-21193

3

Cisco Wireless LAN Controller Software Control and Provisioning of Wireless Access Points Protocol信息泄露漏洞

CNVD

CNVD-2018-21194

4

Cisco Wireless LAN Controller Software目录遍历漏洞

CNVD

CNVD-2018-21195

5

Cisco Wireless LAN Controller Software跨站脚本漏洞

CNVD

CNVD-2018-21196

6

Cisco Wireless LAN Controller Software权限提升漏洞

CNVD

CNVD-2018-21197

7

Libssh服务器端身份验证绕过漏洞

CNVD

CNVD-2018-21199

8

Microsoft Edge远程内存破坏漏洞（CNVD-2018-21211）

CNVD

CNVD-2018-21211

9

Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CNVD-2018-21212）

CNVD

CNVD-2018-21212

10

Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞（CNVD-2018-21213）

CNVD

CNVD-2018-21213

11

Microsoft Windows Codecs Library信息泄露漏洞

CNVD

CNVD-2018-21214

12

Microsoft Windows Kernel 'Win32k.sys'本地权限提升漏洞（CNVD-2018-21215）

CNVD

CNVD-2018-21215

13

Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞（CNVD-2018-21216）

CNVD

CNVD-2018-21216

14

Microsoft Windows Media Player信息泄露漏洞

CNVD

CNVD-2018-21217

15

Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞（CNVD-2018-21218）

CNVD

CNVD-2018-21218

16

Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞（CNVD-2018-21219）

CNVD

CNVD-2018-21219

17

Microsoft Azure IoT Device Client SDK远程内存破坏漏洞

CNVD

CNVD-2018-21220

18

Microsoft Edge Chakra Scripting Engine远程内存破坏漏洞

CNVD

CNVD-2018-21221

19

Microsoft SQL Server Management Studio信息泄露漏洞（CNVD-2018-21210）

CNVD

CNVD-2018-21210

20

Microsoft Excel信息泄露漏洞（CNVD-2018-21209）

CNVD

CNVD-2018-21209

21

Microsoft Windows DirectX Graphics Kernel本地权限提升漏洞（CNVD-2018-21208）

CNVD

CNVD-2018-21208

22

Microsoft Internet Explorer远程内存破坏漏洞（CNVD-2018-21207）

CNVD

CNVD-2018-21207

23

Microsoft Jet Database Engine缓冲区溢出漏洞（CNVD-2018-21206）

CNVD

CNVD-2018-21206

24

Microsoft Edge信息泄露漏洞（CNVD-2018-21205）

CNVD

CNVD-2018-21205

25

Microsoft ChakraCore Scripting Engine远程内存破坏漏洞（CNVD-2018-21204）

CNVD

CNVD-2018-21204

26

Microsoft Baseline Security Analyzer XML外部实体注入漏洞

CNVD

CNVD-2018-21203

27

Microsoft People拒绝服务漏洞

CNVD

CNVD-2018-21202

28

Microsoft Windows Explorer越界读取拒绝服务漏洞

CNVD

CNVD-2018-21201

29

OpenCart存在SQL注入漏洞

CNVD

CNVD-2018-19309

30

企炬中国建站系统存在SQL注入漏洞

CNVD

CNVD-2018-19310

31

北京移动APP存在信息泄露漏洞

CNVD

CNVD-2018-18055

32

Microsoft Windows本地权限提升漏洞（CNVD-2018-21200）

CNVD

CNVD-2018-21200