漏洞描述

CVE 编号

漏洞名称

描述

CVE-2013-1330

Microsoft SharePoint Server Mac 已禁用漏洞

Microsoft SharePoint Server处理未分配的工作流的方式中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在本地服务帐户的上下文中运行任意代码。以下产品版本受到影响：Microsoft SharePoint Portal Server 2003 SP3，SharePoint Server 2007 SP3，2010 SP1和SP2，Office Web Apps 2010。

CVE-2013-1347

Microsoft Internet Explorer 8 远程执行代码漏洞

 Internet Explorer 访问尚未正确初始化或已被删除的对象的方式中存在一个远程执行代码漏洞，该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。攻击者可能拥有一个特制的网站，旨在利用此漏洞通过IE浏览器，然后诱使用户查看该网站。

CVE-2013-1362

NRPE ‘nrpc.c’ 任意代码执行漏洞

NRPE中的nrpc.c中存在远程任意代码执行漏洞，该漏洞源于程序没有正确验证用户提供的输入。攻击者利用该漏洞在受影响应用程序上下文中执行任意命令。NRPE 2.13版本中存在漏洞，其他版本也可能受到影响。

IBM Rational Focal Point Webservice Axis Gateway 安全漏洞

  IBM Rational Focal Point中的Webservice Axis Gateway中存在安全漏洞。远程攻击者可利用该漏洞绕过既定的访问限制，获取敏感信息。以下版本受到影响：IBM Rational Focal Point 6.4，6.4.1.3，6.5.1，6.5.2，6.5.2.3，6.6，6.6.0.1，6.6.1。

CVE-2013-5398

IBM Rational Focal Point 安全漏洞

  IBM Rational Focal Point中的Webservice Axis Gateway中存在安全漏洞。远程攻击者可利用该漏洞绕过既定的访问限制，获取敏感信息。以下版本受到影响：IBM Rational Focal Point 6.4，6.4.1.3，6.5.1，6.5.2，6.5.2.3，6.6，6.6.0.1，6.6.1。

CVE-2013-7091

Zimbra ‘skin’参数目录遍历漏洞

 Zimbra中的/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz脚本中存在目录遍历漏洞。远程攻击者可借助特制‘skin’参数利用该漏洞读取任意文件。

CVE-2012-5958

UPnP Devices ‘unique_service_name()’缓冲区溢出漏洞

 UPnP Devices (又名libupnp，以前Intel SDK for UPnP设备)1.6.18之前版本中的便携式SDK中的SSDP解析器中的ssdp/ssdp_server.c中的‘unique_service_name’函数中存在基于栈的缓冲区溢出漏洞。通过带有未受到某指针减法正确处理的特制字符串的UDP数据包，远程攻击者利用该漏洞执行任意代码。

CVE- 2013-0082

Microsoft Office WPD文件格式内存损坏漏洞

 受影响的Microsoft Office 2003 SP3和2007 SP3软件分析特制的WordPerfect文档(.wpd)文件的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

CVE-2013-1324

Microsoft Office Word堆栈缓冲区覆盖漏洞

受影响的Microsoft Office 2003 SP3和2007 SP3软件分析特制WordPerfect文档文件的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。以下软件受到影响：Microsoft Office 2003 SP3，2007 SP3，2010 SP1和SP2，2013，2013 RT。

CVE-2013-3128

Microsoft OpenType 字体分析漏洞

Windows分析特制OpenType字体（OTF）的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序；查看、更改或删除数据；或者创建拥有完全管理权限的新帐户。以下产品和版本受到影响：Windows XP SP2和SP3，Windows Server 2003 SP2，Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8，Windows Server 2012，Windows RT中的内核驱动模式；.NET Framework 3.0 SP2，3.5，3.5.1，4，4.5。

CVE-2013-3860

Microsoft .NET Framework 实体扩展漏洞

Microsoft .NET Framework中存在一个拒绝服务漏洞，该漏洞可能允许攻击者导致服务器或应用程序崩溃或无响应。以下版本受到影响：.NET Framework 2.0 SP2，3.5，3.5 SP1，3.5.1，4，4.5。 

CVE-2013-3871

Microsoft Internet Explorer 内存损坏漏洞

Microsoft IE 6至10版本不正确地访问内存中的对象时，存在远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。

CVE-2013-3873

Microsoft Internet Explorer 内存损坏漏洞

Microsoft IE 10版本不正确地访问内存中的对象时，存在远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。

CVE-2013-3874

Oracle Java 任意代码执行漏洞

 Oracle Java 7是Java 的下一个版本，也是SUN被oracle收购以后的第一个Java版本。 Oracle Java 7 Update 17版本以及其他版本中存在漏洞。通过未明向量，远程攻击者利用该漏洞执行任意代码。

CVE-2013-3891

Microsoft Word内存损坏漏洞

 Word 2003 SP3版本软件分析特制文件的方式中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

CVE-2013-3893

Microsoft Internet Explorer 远程代码执行漏洞

Microsoft IE 6至11版本中的mshtml.dll文件中的SetMouseCapture功能实现中存在远程代码执行漏洞，该漏洞源于程序访问内存中已被删除或尚未正确分配的对象。攻击者可借助特制的网站并诱使用户查看该网站，利用该漏洞在IE中的当前用户的上下文中执行任意代码，可造成内存损坏。成功利用此漏洞的攻击者可获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

CVE-2013-3895

Microsoft SharePoint Server 参数注入漏洞

 Microsoft SharePoint Server 2007 SP3，2010 SP1和SP2版本中存在一个特权提升漏洞。成功利用此漏洞的攻击者可能执行跨站点脚本攻击并在登录用户的安全上下文中运行脚本。

CVE-2013-3896

Microsoft Silverlight 信息泄露漏洞

Silverlight 5.1.20913.0之前的5版本处理内存中的特定对象的方式中存在一个信息泄露漏洞。成功利用此漏洞的攻击者可以在本地系统上泄露信息。

CVE-2013-3897

Microsoft Internet Explorer内存损坏漏洞

Microsoft IE 6至10版本不正确地访问内存中的对象时，存在远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。

CVE-2013-3908

Microsoft Internet Explorer 信息泄露漏洞

 Microsoft IE 6至10版本处理CSS特殊字符的方式中存在一个信息泄露漏洞。如果用户查看网页，攻击者可通过构建一个允许信息泄露的特制网页来利用此漏洞。成功利用此漏洞的攻击者可查看其他域或Internet Explorer区域中的内容。

CVE-2013-3940

Microsoft Windows 图形设备接口整数溢出漏洞

Windows图形设备接口(GDI)在写字板中处理特制Windows Write文件的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。以下为受影响系统：Microsoft Windows XP SP2和SP3，Windows Server 2003 SP2，Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8，Windows 8.1，Windows Server 2012 Gold和R2，Windows RT Gold和8.1。

CVE-2013-5331

Adobe Flash Player/Adobe AIR 类型混淆漏洞漏洞

 Adobe Flash Player和Adobe AIR中存在类型混淆漏洞。远程攻击者可通过诱使用户打开带有恶意Flash(.swf)内容的Word文档利用该漏洞执行任意代码。以下版本受到影响：基于Windows和Macintosh平台的Adobe Flash Player 11.9.900.152及之前的版本，基于Linux平台上的Adobe Flash Player 11.2.202.327及之前的版本；Adobe AIR 3.9.0.1210及之前的版本，Adobe AIR 3.9.0.1210 SDK及之前的版本，Adobe AIR 3.9.0.1210 SDK & Compiler及之前的版本。

CVE-2013-6877

RealNetworks RealPlayer 基于堆的缓冲区溢出漏洞

 RealNetworks RealPlayer 16.0.2.32和16.0.3.51版本中存在基于堆的缓冲区溢出漏洞。远程攻击者可利用该漏洞诱使用户打开特制的RMP文件执行任意代码。

CVE-2013-1297

Microsoft Internet Explorer JSON 数组信息泄露漏洞

Microsoft Internet Explorer 6至8中存在一个信息泄露漏洞，可能允许攻击者获得访问和读取Internet Explorer中JSON数据文件内容的权限。

CVE-2013-1301

Microsoft Visio XML 外部实体解析漏洞

Microsoft Visio分析包含外部实体的特制XML文件的方式中存在一个信息泄露漏洞。以下版本存在漏洞：Microsoft Visio 2003 SP3、2007 SP3和2010 SP1。

CVE-2013-1336

Microsoft .NET Framework XML 数字签名欺骗漏洞

当Microsoft .NET Framework无法正确验证特制XML文件的签名时存在一个欺骗漏洞。成功利用此漏洞的攻击者可能会修改XML文件的内容，而不会使与文件相关联的签名无效。以下版本中存在漏洞：Microsoft .NET Framework 2.0 SP2、3.5、3.5.1、4和4.5。

CVE-2013-1347

Microsoft Internet Explorer 8 远程执行代码漏洞

 Internet Explorer 访问尚未正确初始化或已被删除的对象的方式中存在一个远程执行代码漏洞，该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。攻击者可能拥有一个特制的网站，旨在利用此漏洞通过IE浏览器，然后诱使用户查看该网站。

CVE-2013-1571

Oracle Java SE JRE组件未明安全漏洞

Oracle Java SE 7 Update 21及之前的版本，6 Update 45及之前的版本，5.0 Update 45 及之前的版本和JavaFX 2.2.21及之前的版本中的Javadoc组件中存在安全漏洞。远程攻击者可通过与Javadoc相关的向量利用该漏洞影响完整性。

CVE-2013-2460

Oracle Java SE JRE组件未明安全漏洞

Oracle Java SE 7 Update 21及之前的版本中的Java Runtime Environment (JRE)组件中存在安全漏洞。远程攻击者可通过与Serviceability相关的向量利用该漏洞影响保密性，完整性及可用性。

CVE-2013-2551

Microsoft Internet Explorer 10 任意代码执行漏洞

Windows 8系统上的Microsoft Internet Explorer 10版本中存在未明安全漏洞。通过未知向量，远程攻击者利用该漏洞执行任意代码。

CVE-2013-6810

EMC Connectrix Manager Converged Network Edition 远程代码执行漏洞

 EMC CMCNE 11.2.1，12.0.1，12.0.3版本中的服务器中存在远程代码执行漏洞。远程攻击者可通过使用servlet小程序上传可执行文件，利用该漏洞执行任意代码。

CVE-2012-6081

MoinMoin 多个未限制文件上传漏洞

MoinMoin 1.9.6之前版本中的(1)twikidraw(action/twikidraw.py)和(2)anywikidraw(action/anywikidraw.py)操作中存在多个未限制文件上传漏洞。通过上传可执行文件，并随后对其发送直接访问请求，远程认证攻击者利用这些漏洞以可写权限执行任意代码。

CVE-2013-3906

Microsoft 图形组件内存损坏漏洞

受影响的Windows 组件和其他受影响的软件处理特制TIFF 文件的方式中存在一个远程执行代码漏洞。如果用户查看共享内容中的TIFF 文件，此漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者随后可安装程序；查看、更改或删除数据；或者创建拥有完全管理权限的新帐户。

CVE-2013-5056

Microsoft 脚本运行时对象库中的释放后使用漏洞

这是Microsoft 脚本运行时对象库中的一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

CVE-2013-5763

Oracle Outside In 利用的漏洞

如果用户在浏览器中通过Outlook Web Access 查看特制文件，则这些漏洞可能允许作为LocalService 帐户远程执行代码。成功利用此漏洞的攻击者可能在受影响的Exchange Server 上作为本地服务帐户运行代码。LocalService 帐户在本地计算机上具有最低特权，在网络上提供匿名凭据。

CVE-2013-1330

Mac 已禁用漏洞

Microsoft Exchange Server 中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在Outlook Web Access (OWA) 服务帐户的上下文中运行任意代码。

CVE-2013-5072

OWA XSS 漏洞

Microsoft Exchange Server 中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行脚本。