【09.27】安全帮®每日资讯：思科互联网操作系统发现执行任意代码高危漏洞；WebSphere XML外部实体注入（XXE）漏洞

近日，IBM官方发布通告修复了WAS中的一个XML外部实体注入（XXE）漏洞（CVE-2020-4643），由于WAS未正确处理XML数据，攻击者可以利用此漏洞远程获取服务器上的敏感信息。WebSphere Application Server是企业级Web中间件，由于其可靠、灵活和健壮的特点，被广泛应用于企业的Web服务中。

参考来源：

https://dy.163.com/article/FNEJNIFJ0511A5GF.html

NIST旗舰性的安全和隐私指南文件SP 800-53《信息系统和组织的安全和隐私控制》的上一次重大更新已经过去了七年。自2013年以来，该出版物已从NIST网站访问或下载数百万次。2020年9月，NIST公布了其安全和隐私控制目录的历史性更新，它将在21世纪为保护组织和系统（包括的个人隐私）奠定坚实的基础。SP 800-53一直被视作NIST信息安全的支撑性文件。

参考来源：

https://www.secrss.com/articles/25883

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiOS SSL VPN 5.6.12及之前版本，6.0.10及之前版本中存在安全漏洞，该漏洞源于缓冲区溢出，该漏洞允许攻击者通过SSL VPN身份验证的远程攻击者使FortiClient崩溃。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-1478