Thinkphp5 控制器名过滤不严导致 getshell 漏洞

Discuz x3.4 前台 SSRF 漏洞

创宇通行证于近日上线手机号注册功能，选择“手机”，即可使用手机号码进行注册。需要注意的是，使用手机号码注册的账户同样需要绑定邮箱。

2018 年 11 月 29 日，Tenable Research 披露 CVE-2018-14933 的补丁可被绕过 (CVE-2018-15716)。NUUO 对 CVE-2018-14933 的修复方式为:对 upgrade_handle.php 实施强制认证，并过滤 uploaddir 参数中的分号。使用 && 、|| 等逻辑运算符就可以绕过补 丁。NUUO 官方已经发布了 3.10.0 版本固件修复了该漏洞。

2018 年 11 月 13 日，Tenable 团队在其网站上公布了 Nagios XI 多个高危漏洞，其 中包含未授权远程命令执行漏洞，认证命令执行漏洞，提权漏洞，存储型 XSS，反射型 XSS 等多个漏洞。 2018 年 12 月 3 日，Seebug 平台收录了该些漏洞，知道创宇 404 漏洞应急团队开 始对该漏洞进行漏洞应急。

为了提升用户使用知道创宇云安全产品的体验感，提高用户面对大批量域名的操作管理效率，知道创宇云安全上线域名分组功能，让用户可以对域名进行更清晰更高效的操作和管理。

为了提升用户使用知道创宇云安全的操作安全性和体验感，知道创宇于去年上线了子帐号管理功能。针对因业务需要，想要授权其它人对本帐号进行管理但又不希望具有完全操作功能的需求，可以通过子账号功能进行精细化的模块授权，从而提高管理效率。

TP-Link TL-R600VPN 路由器中的多个远程漏洞[3]，CVE 编号分别是:CVE-2018-3948, CVE-2018-3949, CVE-2018-3950, CVE-2018-3951