Apache Shiro是一个强大且易用的Java安全框架,用于执行身份验证、授权、密码和会话管理。Apache Shiro cookie中的通过AES-128-CBC模式加密的rememberMe字段存在问题，容易受到Padding Oracle攻击。攻击者可以使用有效的rememberMe cookie作为Padding Oracle攻击的前缀，然后构造rememberMe来执行Java反序列化攻击，最终导致远程代码执行。

近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞。经过我们研究，发现该0day漏洞真实存在，并且可以攻击最新版本的Flink。官方暂未发布补丁。

Squid Cache（简称为Squid）是一款非常流行的HTTP代理服务器软件。近期，Squid官方发布安全更新修复了包括远程代码执行、信息泄露在内的多个漏洞。其中CVE-2019-12526为缓冲区溢出高危漏洞，可能导致远程代码执行，请尽快更新到最新版。

在暗网上的各个地方都发现了从世界500强公司盗取的大约2100万个登录凭证，其中许多凭证已经被破解并以明文形式提供。该信息是通过多方资源汇总的，例如洋葱网络中的市场，网络论坛，Pastebin，IRC频道，社交网络和Messenger聊天。

美国国家能源技术实验室的OE-417电力紧急情况和干扰报告（2019年第一季度）描述了一起网络事件导致的“电力系统运行中断”。

这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的，而EJBTaglibDescriptor应该是漏掉的一个，可以参考之前几个XXE的分析。

新加坡安全研究员Awakened在他的博客中发布了这篇[0]对whatsapp的分析与利用的文章，其工具地址是[1]，并且演示了rce的过程[2]，只要结合浏览器或者其他应用的信息泄露漏洞就可以直接在现实中远程利用，并且Awakened在博客中也提到了：

近日，国外的安全研究员S00pY在GitHub发布了Apache Solr Velocity模版注入远程命令执行的poc，该0day漏洞真实存在，并且可以攻击最新版本的Solr。目前该漏洞利用详情已经广泛流传于Github以及各大安全群，且公开的EXP可以执行任意命令并自带回显，官方暂未发布补丁。