2018年11月13日，Microsoft MSRC发布了一个Microsoft exchange Server漏洞通告，涉及Microsoft Exchange Server中存在一处漏洞。利用此漏洞最低限度可以导致越权访问任意Exchange用户的邮件信息，结合特定的场景和其他安全问题可能实现权限提升，对应的漏洞编号为CVE-2018-8581。

Nuxeo Platform是一款跨平台开源的企业级内容管理系统(CMS)。nuxeo-jsf-ui组件处理facelet模板不当，当访问的facelet模板不存在时，相关的文件名会输出到错误页面上，而错误页面会当成模板被解析，文件名包含表达式也会被输出同时被解析执行，从而导致远程代码执行漏洞。

2018年11月06日，Elasticsearch Kibana被曝光出一个本地文件包含漏洞(CVE-2018-17246) 。如果攻击者可以控制服务器上文件的内容，就可利用该漏洞在主机操作系统上以Kibana进程权限执行任意命令。

Windows DNS（Domain Name System）服务器处理请求时存在缺陷，从而导致存在远程执行代码漏洞。远程且未经授权的攻击者通过向 Windows DNS 服务端发送精心构造的恶意请求，即能以本地系统账户权限执行任意代码。

Thinkphp5 控制器名过滤不严导致 getshell 漏洞

Discuz x3.4 前台 SSRF 漏洞

创宇通行证于近日上线手机号注册功能，选择“手机”，即可使用手机号码进行注册。需要注意的是，使用手机号码注册的账户同样需要绑定邮箱。

2018 年 11 月 29 日，Tenable Research 披露 CVE-2018-14933 的补丁可被绕过 (CVE-2018-15716)。NUUO 对 CVE-2018-14933 的修复方式为:对 upgrade_handle.php 实施强制认证，并过滤 uploaddir 参数中的分号。使用 && 、|| 等逻辑运算符就可以绕过补 丁。NUUO 官方已经发布了 3.10.0 版本固件修复了该漏洞。