近日，Drupal 发布了新版本的软件，以修补另一个影响其 Drupal 7 和 8 核心的严重远程代码执行（RCE）漏洞（CVE-2018-7602），这是过去 30 天以来 Drupal 被发现的第三个严重漏洞。

Drupal 是一个流行的开源内容管理系统（CMS）软件，为数百万个网站提供支持。但不幸的是，自从披露了一个高度关键的远程代码执行漏洞以来，其 CMS 一直处于被攻击状态。

这个新的漏洞是在探索先前暴露的 RCE 漏洞（名为 drupalddon2 (CVE-2018-7600)）时被发现的。攻击者开发利用 Drupalgeddon2 漏洞将加密货币矿工、后门程序和其他恶意软件注入网站。据悉， drupalddon2 已在 3 月 28 日被修复。

...

安全公司 VPN Mentor 的专家发现了一个影响大多数 LG NAS 设备的预认证 RCE（远程代码注入）漏洞，攻击者可利用该漏洞获取设备的最高权限。

...

外媒 3 月 7 日消息， 安全公司 Devcore 于近期发布公告称邮件传输代理 （MTA） Exim 中存在一个严重的远程执行代码漏洞（ CVE-2018-6789），影响了一半以上的在线电子邮件服务器。

资料显示：Exim 是一个MTA（Mail Transfer Agent，邮件传输代理）服务器软件，该软件基于 GPL 协议开发，是一款开源软件，主要运行于类 UNIX 系统，通常该软件会与 Dovecot 或 Courier 等软件搭配使用。 截至 2017 年 3 月，运行 Exim 的互联网电子邮件服务器总数估计已超过 56 万，相当于所有在线邮件（MX）服务器的 56％ 。

Devcore 介绍，该漏洞是一个 base64 解码功能中的溢出漏洞，在第一版 Exim 中就已经存在，并且其他所有版本也受到它的影响。根据研究，该漏洞可以被用来获得远程代码执行的预授权，因此目前至少会有 40 万台电子邮件服务器处于风险之中。

...

外媒 1 月 24 日报道，流行软件构建框架 Electron 中存在一个严重的远程代码执行（ RCE ）漏洞（CVE-2018-1000006），可能会影响大量热门桌面应用程序，比如 Skype，Signal，Slack，GitHub Desktop，Twitch 和 WordPress.com 等。 Electron  表示目前只有 Windows 的应用程序会受到漏洞影响。

Electron 由 GitHub 团队开发，是一个基于 Node.js 和 Chromium 引擎的开源框架，允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows，MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。

...