国家计算机网络入侵防范中心安全漏洞周报：2014年11月3日至2014年11月10日，安全漏洞155个，其中高危漏洞65个，中等威胁漏83个，低威胁漏洞7个，安全漏洞总量是上周的2.35 倍。

本次值得关注的漏洞有，[*]EspoCRM中存在目录遍历漏洞，受影响的产品，版本早于 2.6.0，由于对输入参数未进行正确的限制，允许远程攻击者，通过操作中的. (dot dot) 参数到 install/index.php，包括和执行任意本地文件[*]HP LaserJet CM3530 Multifunction Printer 中存在未知的漏洞，受影响的产品，CC519A 和 CC520A防火墙，版本早于53.236.2，允许远程攻击者，通过未知向量，获取敏感信息，修改数据，或者引起拒绝服务攻击[*]SAP CRM Internet Sales module 中存在安全漏洞，由于系统读取攻击者控制的文件，并执行该文件中的任意代码，允许远程攻击者，通过未知的向量，执行任意命令[*]中的network-diagnostics administration interface中存在安全漏洞，受影响的产品，Cisco RV router firmware 的 RV220W devices，版本早于1.0.5.9 的 RV120W devices，以及，版本早于1.0.4.14 的 RV180 和 RV180W devices，由于系统读取攻击者控制的文件，并执行该文件中的任意代码，允许远程认证用户，通过精心构造的HTTP请求，即错误ID CSCuh87126，执行任意命令[*]中存在SQL注入漏洞，受影响的产品，EMC RSA Web Threat Detection 4.x，版本早于 4.6.1.1，由于对输入参数未进行正确的限制，允许远程认证用户，通过未知的向量，执行任意 SQL命令

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。