外媒 2 月 25 日消息，Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞（ CVE-2018-6219 ~ CVE-2018-6230），其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。目前受影响的软件包是趋势科技电子邮件加密网关 5.5 （Build 1111.00）及更早版本。

...

外媒 1 月 23 日消息，安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据，这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉，目前 ThreatPress 正在监视大量的数据源，以便实时向数据库中添加新的漏洞。

2017 年整体统计数据

2017 年 ThreatPress 在其数据库中添加了 221 个漏洞，总数较之前减少了 69 ％。数据显示， 跨站脚本（XSS）与 2016 年一样，仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出，才导致了越来越多的 WordPress 插件和主题受到跨站点脚本（XSS）漏洞的攻击。此外， SQL 注入漏洞在 2017 年也大幅上升。

...

外媒 1 月 23 日消息，安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网，或引来跨站脚本（XSS）和中间人（MitM）攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞，但不幸的是，仍有一些问题尚未解决。

...

据外媒 12 日报道，安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞，可能导致用户遭受网络钓鱼攻击。

XSS（跨站脚本攻击）：攻击者在 Web 页面插入恶意 Script 代码，致使用户浏览页面时自动执行代码，从而达到恶意攻击用户的目的。

调查显示，XSS 漏洞存在于 $_SERVER['PHP_SELF'] 函数之中，允许攻击者发送网络钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ，那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。

...

任何使用 jQuery Mobile 并且具有开放重定向功能的网站都易受到 跨站点脚本（ XSS ）攻击，消息显示 jQuery Mobile 开发团队暂不决定修复该漏洞。

Query 基金会的 jQuery Mobile 项目是一个基于 HTML5 的框架，用于创建移动 web 应用程序，适用于所有流行的智能手机和平板电脑。该项目已被超过 15 万个活跃网站使用。

...

芬兰安全专家 JoukoPynnönen 发现雅虎邮件服务存在漏洞，允许黑客读取受害者的电子邮件消息。

...