Eclipse Che是一个现代的、开放源代码的软件开发环境。它是一个通过提供结构化的工作区、项目输入、模块化扩展插件来支持Codenvy的引擎。Che可以用作桌面IDE，RESTful工作空间服务器，或作为一个创建新的工具SDK。 Eclipse Che近日被爆出存在 CSRF导致RCE漏洞，该漏洞允许远程网站在用户访问网页时，在7.3.0和7.4.1版本Che的计算机上创建并启动任意docker容器。

2019年12月10日，微软发布12月份安全更新，共修复了36个漏洞（包括一个0day漏洞），涉及到Windows Hyper-V，Graphics，GDI, RDP, OLE，Microsoft PowerPoint，Word，Excel，Git for Visual Studio等组件和软件。相关修复措施可参考微软官方建议进行升级。

GoAhead Web Server 是由 EmbedThis 开发的嵌入式 Web 服务器，在物联网领域应用非常广泛。 来自Cisco Talos 的安全研究员发现，GoAhead Web Server 在处理 multipart/form-data 类型的 HTTP 请求时存在代码执行漏洞：精心构造的恶意请求将会触发 use-after-free 来破坏堆结构，最终导致代码执行。进行漏洞利用的攻击请求可以在未授权的情况下以 GET 或 POST 的形式发送，且并不要求请求资源真实存在于服务端。

通达OA是由北京通达信科科技有限公司研发的一款通用型OA产品，涵盖了个人事务、行政办公、流程审批、知识管理、人力资源管理、组织机构管理等企业信息化管理功能。2015年，通达云OA入驻阿里云企业应用专区，已为众多中小企业提供了稳定、可靠、强悍的云计算支撑。 近日，通达OA 最新版本被爆出SQL注入漏洞，该漏洞存在于某个服务接口，可利用精心构造的请求包进行SQL注入。虽然该系统对危险字符和关键字进行了校验判断，但仍然可被绕过，攻击者可利用该漏洞获取服务器敏感信息。

近日安全研究人员JanHøydahl披露了Apache Solr的8.1.1和8.2.0发行版中的默认配置文件solr.in.sh，在其配置文件中ENABLE_REMOTE_JMX_OPTS字段默认配置不安全.如果使用受影响版本中的默认配置，那么将启用JMX监视服务并将对公网监听一个18983的RMI端口，且无需进行任何身份验证,配合JMX RMI将会导致远程代码执行。

微软刚刚发布2019年11月的补丁安全更新。本次共修复了74个漏洞，其中包括Microsoft Exchange Server远程代码执行漏洞、已遭利用的Internet Explorer远程代码执行漏洞、Microsoft Windows Win32k远程代码执行漏洞、Microsoft Excel远程代码执行等高危漏洞，请尽快下载补丁并更新。

Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。Apache Shiro cookie中的通过AES-128-CBC模式加密的rememberMe字段存在问题，容易受到Padding Oracle攻击。攻击者可以使用有效的rememberMe cookie作为Padding Oracle攻击的前缀，然后构造rememberMe来执行Java反序列化攻击，最终导致远程代码执行。

近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞。经过我们研究，发现该0day漏洞真实存在，并且可以攻击最新版本的Flink。官方暂未发布补丁。