報告編號：B6-2018-110102 報告來源：360-CERT 報告作者：360-CERT 更新日期：2018-11-01 0x00 事件背景 2018-10-31 Cisco

前言 國外大神Kevin Backhouse剛剛放出了一篇博文，對蘋果作業系統核心中發現的堆緩衝區溢位漏洞（CVE-2018-4407）進行了一番解構。 該漏洞使得攻擊者只要接入同一Wi-Fi

在Twitter 上看到的 security issue，好久沒在這麼普及的軟體上看到這種 bug 了： #CVE -2018-14665 - a LPE exploit

前言 近期，我們發現了一個Java Usage Tracker中的設計缺陷，可導致攻擊者建立任意檔案，注入指定引數，並實現本地許可權提升。反之，該漏洞可以用於許可權提升，從而使攻擊者可以訪問受漏洞影響系統中

前言 在一些資訊保安評估工作中，有時很難清楚地瞭解目標網路的外圍情況，作為不得已的手段，我們可能會對目標網路相關曝露在網的應用服務進行安全測試，這種情形下往往會有所突破，就像我在這裡要分享的賽門鐵克（Sy

1.1背景 北京時間10月17日，Oracle官方釋出的10月關鍵補丁更新CPU（重要補丁更新）中修復了一個高危的WebLogic遠端程式碼執行漏洞（CVE-2018-3191）。該漏洞允許未經身

https://www.npmjs.com上有Node.js和許多相關的包。研究人員在Node.js npm上搜索了許多常見的包名和函式，包括file, backup, download, upload等。最後

一、 背景介紹 WebLogic是美國Oracle公司出品的一個Application Server，確切的說是一個基於JAVAEE架構的

背景 北京時間10月17日，Oracle官方釋出的10月關鍵補丁更新CPU（Critical Patch Update）中修復了一個高危的WebLogic遠端程式碼執行漏洞（CVE-2018-3191）。該

一、背景介紹 libssh 是一個在客戶端和服務端實現SSHv2協議的多平臺C庫。通過它可以執行遠端命令、檔案傳輸，也能為遠端的程式提供安全的傳輸通道。同時它也支援非同步連結，SFTP,SCP和OpenSS

報告編號：B6-2018-101703 報告來源：360-CERT 報告作者：360-CERT 更新日期：2018-10-17 0x00 事件背景 2018-10-16 libss

Foxit Reader XFA setInterval釋放後重利用程式碼執行漏洞（CVE-2018-17628） 釋出日期：2018-10-11 更新日期：2018-10-

什麼是CVE CVE的全稱是“Common Vulnerabilities and Exposures”。CVE是一個字典表，為廣泛認同的資訊安全漏洞或者已經暴露出來的弱點給出一個公共的名稱，以幫助使用者在

原文： https://labs.mwrinfosecurity.com/advisories/minikube-rce/ Minikube上的Kubernetes儀表板服務存在DNS重繫結漏洞，攻擊者

概述 2018年8月底，Apache Struts團隊釋出了Apache Struts 2開源開發框架的安全更新，其中修復了一個高危的遠端程式碼執行漏洞（RCE）。這一漏洞的編號為CVE-2018-1177