2020年5月20日，Apache官方发布安全通告修复了Apache Tomcat Session 反序列化远程代码执行漏洞（CVE-2020-9484）。若使用了Tomcat的session持久化功能，那么不安全的配置将导致攻击者可以发送恶意请求执行任意代码。

2020年5月16日，WordPress出现了一个代码漏洞。该漏洞至少自2020年5月5日起被利用。WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Elementor Pro是使用在其中的一个网页构建器插件。 WordPress Elementor Pro 2.9.4之前版本中存在安全漏洞。远程攻击者可利用该漏洞上传任意的可执行文件，进而执行任意代码。注意：免费的Elementor插件不受影响。

本月，微软共发布了111个漏洞的补丁程序，其中，包括Microsoft Graphics Components、SharePoint、Media Foundation、Internet Explorer、Microsoft Edge、Microsoft Color Management以及VBScript、Chakra、MSHTML等脚本引擎中的16个漏洞被微软官方标记为紧急漏洞。经研判，以下13个漏洞影响较大（CVE-2020-1062、CVE-2020-1153、CVE-2020-1054、CVE-2020-1143、CVE-2020-1035、CVE-2020-1023、CVE-2020-1024、CVE-2020-1102、CVE-2020-1028、CVE-2020-1126、CVE-2020-1136、CVE-2020-1056、CVE-2020-1117）。其中，CVE-2020-1062、CVE-2020-1153、CVE-2020-1054、CVE-2020-1143、CVE-2020-1035被微软标记为“Exploitation More Likely”。鉴于这些漏洞危害较大，建议客户尽快安装更新补丁。

Jenkins是一款基于Java开发的开源项目，为保证Jenkins服务器的安全，建议相关用户将受影响的Jenkins插件升级至安全版本。

Apache IoTDB 是针对时间序列数据收集、存储与分析一体化的数据管理引擎。它具有体量轻、性能高、易使用的特点，完美对接 Hadoop 与 Spark 生态，适用于工业物联网应用中海量时间序列数据高速写入和复杂分析查询的需求。 启动 IoTDB 时,在其配置文件中默认启用 JMX 监视服务并将对公网监听一个31999的 RMI 端口,且无需进行任何身份验证,配合 JMX RMI 将会导致远程代码执行。 建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

Oracle Virtualization 是美国甲骨文（Oracle）公司的一套虚拟化解决方案。该产品用于统一管理从应用程序到磁盘的整个硬件和软件体系，可实现从桌面到数据中心的虚拟化。VM VirtualBox 是其中的一个虚拟机组件。 USB 3.0 XHCI 模块 是 VirtualBox 中负责实现虚拟机连接 USB3.0 设备的通信模块。 VirtualBox USB 3.0 XHCI 模块 存在越界写漏洞，本地攻击者通过在虚拟机内部执行特定程序，可以造成虚拟机逃逸。 建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

2020年04月21日， 发现 openssl 官方发布了 TLS 1.3 组件拒绝服务漏洞 （CVE-2020-1967）的风险通告。 openssl 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信。这个包广泛被应用在互联网的网页服务器上。其主要库是以 C 语言所写成，实现了基本的加密功能，实现了 SSL 与 TLS 协议。openssl 可以运行在 OpenVMS、 Microsoft Windows 以及绝大多数类 Unix 操作系统上（包括 Solaris，Linux，MacOS 与各种版本的开放源代码 BSD 操作系统）。 TLS(Transport Layer Security) 是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中都广泛支持这个协议。该协议当前已成为互联网上保密通信的工业标准。 openssl 存在 拒绝服务漏洞，攻击者 通过 发送特制的请求包，可以造成 目标主机服务崩溃或拒绝服务。 服务端或客户端程序在 SSL_check_chain() 函数处理 TLS 1.3握手前后。可能会触发空指针解引用，导致错误处理 tls 扩展 signature_algorithms_cert。当服务端或客户端程序收到一个无效或无法识别的签名算法时可能会引发崩溃或拒绝服务漏洞。 建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。

通达 OA（Office Anywhere）网络智能办公系统是适用于企事业单位的通用型网络办公软件，是中国用户群最大的 OA 软件品牌。融合了通达科技长期从事管理软件开发的丰富经验与先进技术，并采用领先的 B/S(浏览器/服务器)操作方式，使得网络办公不受地域限制。 2020年04月17日，通达 OA 官网发布了通达 OA 最新版11.5版本，其中修复了一枚任意用户登录漏洞。未经授权的攻击者可以通过精心构造的 HTTP 请求登录任意用户，包括 Admin 用户。不排除结合其他漏洞进一步控制通达 OA 服务乃至整个服务器的可能。建议广大用户及时将使用的通达 OA 系统更新到最新版本。