CNNVD最新漏洞（2018-10-23）

今日CNNVD共发布安全漏洞52个。主要影响厂商为美国F5（5个）、美国Splunk（4个）、美国Symantec（1个）。主要影响产品为F5 BIG-IP AFM防火墙（2个）、Splunk分析软件（5个）、Symantec Web Isolation安全防护软件（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】F5 BIG-IP AFM 跨站脚本漏洞

【漏洞编号】CNNVD-201810-1070（CVE-2018-15314）

【漏洞详情】F5 BIG-IP AFM是美国F5公司的一款用于防护DDos攻击的高级防火墙产品。

F5 BIG-IP AFM 13.0.0版本至13.1.1版本和12.1.0版本至12.1.3版本中的TMUI页面存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://support.f5.com/csp/article/K04524282

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1070

【漏洞名称】Splunk Enterprise和Splunk Light 安全漏洞

【漏洞编号】CNNVD-201810-1064（CVE-2018-7429）

【漏洞详情】Splunk是美国Splunk公司的一套数据收集分析软件。该软件主要用于收集、索引和分析机器产生的数据，包括所有IT系统和基础结构（物理、虚拟和云）生成的数据。Splunk Enterprise是一个企业版。Splunk Light是一套专为小型IT环境而设计的自动日志检索与分析解决方案。

Splunk Enterprise和Splunk Light中存在拒绝服务漏洞。远程攻击者可通过发送特制的HTTP请求利用该漏洞造成拒绝服务。以下产品和版本受到影响：Splunk Enterprise 6.4.8之前的6.4.x版本，6.3.11之前的6.3.x版本，6.2.14之前的6.2.x版本；Splunk Light 6.5.0之前版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://www.splunk.com/view/SP-CAAAP5T

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1064

【漏洞名称】Symantec Web Isolation 跨站脚本漏洞

【漏洞编号】CNNVD-201810-1063（CVE-2018-12246）

【漏洞详情】Symantec Web Isolation是美国赛门铁克（Symantec）公司的一款Web安全防护软件。该软件主要用于防止恶意软件和网络钓鱼攻击等。

Symantec Web Isolation 1.11版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞在用户的Web浏览器中执行任意脚本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://www.splunk.com/view/SP-CAAAP5T

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1063

【漏洞名称】Moxa ThingsPro 安全漏洞

【漏洞编号】CNNVD-201810-1097（CVE-2018-18390）

【漏洞详情】Moxa ThingsPro是摩莎（Moxa）公司的一套物联网网关和设备管理解决方案。

Moxa ThingsPro 2.1版本中存在安全漏洞。远程攻击者可通过实施暴力破解攻击利用该漏洞获取有效用户的密码。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.moxa.com/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201810-1097

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag