这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的，而EJBTaglibDescriptor应该是漏掉的一个，可以参考之前几个XXE的分析。

新加坡安全研究员Awakened在他的博客中发布了这篇[0]对whatsapp的分析与利用的文章，其工具地址是[1]，并且演示了rce的过程[2]，只要结合浏览器或者其他应用的信息泄露漏洞就可以直接在现实中远程利用，并且Awakened在博客中也提到了：

近日，国外的安全研究员S00pY在GitHub发布了Apache Solr Velocity模版注入远程命令执行的poc，该0day漏洞真实存在，并且可以攻击最新版本的Solr。目前该漏洞利用详情已经广泛流传于Github以及各大安全群，且公开的EXP可以执行任意命令并自带回显，官方暂未发布补丁。

意大利全球银行和金融服务巨头UniCredit宣布其网络安全团队发现一起“数据事件”，该事件导致其300万客户的个人数据遭到泄露。UniCredit成立于1870年，是意大利最大的银行和金融服务商，也是欧洲领先的商业银行之一，在17个国家地区拥有8500多家分支机构。

格鲁吉亚近期遭受了大规模的网络攻击，超过15000个网站被破坏，随后被迫关闭。 这次安全事件被当地媒体认为是该国历史上最大规模的网络袭击，影响了多家政府机构、银行、法院、当地报纸和电视台的网站。

南非最大城市约翰内斯堡今年 7 月因勒索软件攻击而导致部分居民失去电力供应，现在它又一次成为勒索软件攻击的目标。

上海泛微网络科技股份有限公司专注于协同管理软件领域，并致力于以协同OA为核心帮助企业构建全员统一的移动办公平台。 该公司开发的泛微E-cology OA系统存在数据库配置信息泄漏漏洞，攻击者可通过该漏洞页面直接获取到数据库配置信息，如攻击者可直接访问数据库，则可直接获取用户数据，甚至可以直接控制数据库服务器。

ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架，底层采用ThinkPHP3.2.3构建。 ThinkCMF提出灵活的应用机制，框架自身提供基础的管理功能，而开发者可以根据自身的需求以应用的形式进行扩展。 通过该漏洞，远程攻击者在无需任何权限情况下，通过构造特定的请求包即可在远程服务器上执行任意代码。