cve

【预警通告】Microsoft Exchange Server远程代码执行漏洞CVE-2018-8302 微软官方于8月14日发布了63个漏洞的补丁程序，其中存在于Microsoft Exchange Server中的远程代码执行漏洞（CVE-2018-8302）需重点关注，该产品大部分版本受此漏洞影响。攻击者只需获得使用UM语音信箱功能的邮箱账户，并执行通过Exchange Web Services上传.Net反序列化payload的命令。在拨打此账户的语音邮箱后，即可触发payload，造成System级远程代码执行

当地时间2017年4月19日（北京时间2017年4月20日），思科（Cisco）官方发布一条安全公告，公告显示思科集成管理控制器（Integrated Management Controller）IMC的基于Web的GUI中的漏洞(CVE-2017-6616)允许经过身份验证的远程攻击者在受影响的系统上执行任意代码。 该漏洞是由于受影响的软件没有充分过滤和无害化用户提供的HTTP请求值。 攻击者可以通过向受影响的软件发送精心设计的HTTP请求来利用此漏洞，从而在受影响的系统上越权执行任意代码

在 BIND 处理零长度资源数据记录的方式中发现一个缺陷。恶意的 DNS 域所有者可利用此缺陷创建特别构建的 DNS 资源记录，从而造成递归解析器或辅助服务器崩溃，还可能导致泄漏其部分内存。(CVE-2012-1667) 在 BIND 处理缓存的名称服务器 (NS) 资源记录更新的方式中发现一个缺陷

更新后的 rubygems 程序包修复了三个安全问题，现在可用于 Red Hat Enterprise Linux 6。 Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级

远程 Web 服务器包含受到多种漏洞影响的应用程序。 根据其版本号，远程 Web 服务器上托管的 Splunk Enterprise 版本为低于 5.0.11 的 5.0.x。因此，它受到以下漏洞的影响： - 对使用密码分组链接 (CBC) 模式下的分组密码进行加密的消息进行解密时，在 SSL 3.0 处理填充字节的方式中导致中间人 (MitM) 信息泄露漏洞（即 POODLE）

32位Redis远程代码执行漏洞（CVE-2021-32761） Redis是世界范围内应用广泛的内存型高速键值对数据库。2021年7月21日Redis官方发布公告，披露了CVE-2021-32761 32位Redis远程代码执行漏洞。在32位Redis中，攻击者在Redis存在未授权访问的情况下可利用*BIT*命令与proto-max-bulk-len配置参数可能造成整形溢出，最终导致远程代码执行

该插件允许在线商店的网站销售礼品卡，这是一个在50000多个网站上使用的WordPress 插件。 据悉，YITH WooCommerce Gift Cards Premium 插件允许在线商店的网站销售礼品卡，而CVE-2022-45359漏洞是一个任意文件上传问题，允许未经身份验证的攻击者将文件上传到易受攻击的站点，包括提供对该站点的完全访问权限的Web shell。该问题于2022年11月22日被发现，并随着版本3.20.0的发布得到解决

近日，山石网科通过 CNA 准入程序，正式成为 CVE 编号颁发机构。目前已有来自36个国家共275位CNA成员，包括Apple、Google、Adobe、OPPO等企业，山石网科是全球成员中为数不多的中国厂商。 此次山石网科进入CNA并成为 CVE 编号颁发机构，将拥有直接分发和管理相关产品 CVE 编号的权限

远端名称服务器受到一个宣告失败弱点影响。 远端主机上安装的 ISC BIND 版本比测试版本旧。因此，会受到 cve-2022-1183 公告中提及的一个弱点影响

远端 Ubuntu 主机缺少一个或多个安全性相关修补程式。 Andy Lutomirski 在 Linux 核心的巢状 NMI (非遮罩式插断) 处理中发现瑕疵。无权限的本机使用者可利用此瑕疵，造成拒绝服务 (系统当机) 或可能提升其权限