e-office 未能正确处理上传模块中用户输入导致的，攻击者可以构造恶意的上传数据包，实现任意代码执行

由于ShenyuAdminBootstrap中JWT的错误使用，导致攻击者可以绕过身份验证，直接进入目标系统后台。

metabase 爆出敏感信息泄露漏洞，该漏洞 CVSS3 评分高达 9.9。攻击者可在未经身份验证的情况下获取系统敏感信息。

Hadoop Yarn作为Hadoop核心组件之一，负责将资源分配至各个集群中运行各种应用程序，并调度不同集群节点上的任务执行。近日阿里云应急响应中心监测到 Hadoop Yarn RPC未授权访问漏洞在野利用事件。Hadoop Yarn默认对外开放RPC服务，攻击者可利用RPC服务执行任意命令，控制服务器。同时由于Hadoop Yarn RPC服务访问控制机制开启方式与REST API不一样，因此即使在 REST API有授权认证的情况下，RPC服务所在端口仍然可以未授权访问。阿里云应急响应中心提醒 Apache Hadoop 用户尽快采取安全措施阻止漏洞攻击。

由于用户指定 HTTP InputSource 没有做出限制，可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下，构造恶意请求执行文件读取，最终造成服务器敏感性信息泄露。

SonarQube 某接口存在信息泄露漏洞，可以获取部分敏感信息

文章摘要

表哥们网络安全自我保护意识很强，发漏洞时候打马赛克了。这就等于是看的到摸不到的玩偶姐姐。