cve

当地时间4月17日，北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行代码。 该漏洞由绿盟科技研究员首先发现，并及时上报给了Oracle官方，关于该漏洞的更多信息以及绿盟科技的技术防护方案将随后发布，请关注绿盟科技博客。 Oracle官方已经在今天的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护

近日，山石网科通过 CNA 准入程序，正式成为 CVE 编号颁发机构。目前已有来自36个国家共275位CNA成员，包括Apple、Google、Adobe、OPPO等企业，山石网科是全球成员中为数不多的中国厂商。 此次山石网科进入CNA并成为 CVE 编号颁发机构，将拥有直接分发和管理相关产品 CVE 编号的权限

为保障客户的安全，Apple 在进行调查并提供修补程式或版本之前，不会揭露、讨论或确认安全性问题。最新版本列于“Apple 安全性更新”页面上。 Apple 安全性文件会尽可能以 CVE-ID 参照安全漏洞

据安全厂商Imperva在2018年展开的调查显示，尽管WordPress是骇客最常锁定的内容管理平台，但全球的WordPress网站漏洞，却有高达98%是由于外挂程序所引发，只有2%涉及WordPress核心。 在全球的网站中，有28%是以WordPress架设，如果按全球基于CMS的网站计算的话，WordPress的市占率更高达59%。 高市占率的平台自然成为骇客的头号攻击目标，与排名二、三的Joomla及Drupal相较，WordPress网站在去年出现542个安全漏洞，Joomla不到200个，Drupal则仅有100个

更新后的 ghostscript 程序包修复了两个安全问题，现在可用于 Red Hat Enterprise Linux 4。 Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。 Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞

根据其自我报告的版本编号，远端主机正在执行受到多个弱点影响的 Apache Tomcat 版本： - 依照预设，Tomcat 会自动部署置于主机 appBase 中的任何目录。这可导致通常受到一个或多个安全性限制保护的档案在没有安全性限制的情况下进行部署。(CVE-2009-2901) - 部署 WAR 档案时，系统不会检查 WAR 档案名称是否有目录遍历企图，这可导致攻击者删除主机工作目录的目前内容

这些更新可解决重大弱点，防止其可能允许攻击者控制受的影响系统。 若要确认您的系统所安装的 Adobe Flash Player 版本，请进入关于 Flash Player 页面，或是在 Flash Player 中执行的内容上按一下鼠标右键，然后从选单选择“关于 Adobe (或 Macromedia) Flash Player”。如果您使用多种浏览器，请对安装在系统中的每个浏览器均进行检查

Cisco发布公告修复了一个Cisco Common Service Platform Collector（CSPC）中存在的漏洞（CVE-2019-1723）。该漏洞源于系统中存在的一个具有固定密码的默认账户，攻击者可以通过该账户与密码直接远程登录受影响的设备，该账户不具备管理员权限。 当地时间6月20日，Cisco官方发布安全通告修复了多个不同程度的安全漏洞，其中包括5个严重漏洞

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件，可用于构建企业文库等。2021年8月26日Atlassian官方发布公告，披露了CVE-2021-26084 Atlassian Confluence 远程代码执行漏洞。2021年8月31日，互联网上公开了相关漏洞利用脚本，攻击者可在无需登录的情况下构造恶意请求，执行任意代码，控制服务器