外媒 2 月 25 日消息，Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞（ CVE-2018-6219 ~ CVE-2018-6230），其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。 在这些漏洞中，最严重的是 CVE-2018-6223，可能会被本地或远程攻击者利用来获得目标设备的 root 权限，以便于执行任意命令。目前来说，该漏洞与设备注册时缺少身份验证有关。
具体细节为：管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备，...

外媒 1 月 23 日消息，安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据，这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉，目前 ThreatPress 正在监视大量的数据源，以便实时向数据库中添加新的漏洞。 令人惊讶的是，目前有许多网站受到 WordPress 插件中的漏洞威胁，据初步统计，安装插件的网站总数已达 17,101,300 + ，其中：
○ 易受攻击的插件 - 202 ○ 易受攻击的主题 - 5...

外媒 1 月 23 日消息，安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网，或引来跨站脚本（XSS）和中间人（MitM）攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞，但不幸的是， 安全专家 Sood 介绍，GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务，允许用户远程管理设备及其内容，并且可以通过设备名称和登录凭证来访问存储。而 GoFlex 固件则运行着一个 HTTP 服务器，要求用户在路由器上启用端口转发，...

据外媒 12 日报道，安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞，可能导致用户遭受网络钓鱼攻击。
XSS（跨站脚本攻击）：攻击者在 Web 页面插入恶意 Script 代码，致使用户浏览页面时自动执行代码，从而达到恶意攻击用户的目的。
调查显示， 目前，谷歌表示该库仅是 “ 测试版本 ” ，而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以，用户不必太过担心，谷歌承诺尽快修复补丁，以保证用户系统的安全。...

任何使用 jQuery Mobile 并且具有开放重定向功能的网站都易受到 跨站点脚本（ XSS ）攻击，消息显示 jQuery Mobile 开发团队暂不决定修复该漏洞。

Query 基金会的 jQuery Mobile 项目是一个基于 HTML5 的框架，用于创建移动 web 应用程序， Google 安全工程师 Eduardo Vela 发现 jQuery Mobile 将获取 location.hash 文件中的任何 URL 并将其放在 innerHTML 中，这种行为将被攻击者在特定条件下利用发动 XSS 攻击。漏洞利用详情可查看国内漏洞情报平台 Seebug 。...

芬兰安全专家 JoukoPynnönen 发现雅虎邮件服务存在漏洞，允许黑客读取受害者的电子邮件消息。 研究员称这是一个基于 DOM 的持久型 XSS (跨站点脚本)漏洞，攻击者可以利用漏洞向任何用户发送被嵌入恶意代码的电子邮件。 这种攻击只需要用户查看电子邮件，当用户打开邮件后，恶意代码会就会自动执行，无需点击链接或打开附件等交互行为，让人防不胜防。...