二月最新漏洞列表

Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

本周安全态势综述

OSCS 社区共收录安全漏洞 10个,公开漏洞值得关注的是 Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977),hutool 存在反序列化漏洞(CVE-2023-24162),Docker容器文件权限校验不严漏洞(CVE-2022-37708),Jira Service Management 身份验证不当漏洞(CVE-2023-22501),Apache AGE <=1.1.0 SQL 注入漏洞(CVE-2022-45786)。
针对 NPM 、PyPI 仓库,共监测到 44 个不同版本的 NPM 、PyPI 投毒组件。

重要安全漏洞列表

1.Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829)
Apache IoTDB-Workbench 是 IoTDB (一款针对时序数据的数据管理系统) 的可视化管理工具。
受影响版本的 Apache IoTDB-Workbench 能根据默认的 root 用户名构造 JWTToken,导致攻击者能绕过登录限制直接访问工作台。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3335

2.Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644)
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
受影响版本的 Apache Linkis 在与 MySQL Connector/J 一起使用时,恶意用户在控制连接的 MySQL 服务并设置 jdbc url 中的 allowLoadLocalInfile 参数为 true(默认false)后能够读取客户端有权限访问的任意本地文件。
攻击者控制 jdbc url 将 allowLoadLocalInfile 参数设置为 true,再通过控制 MySQL 服务读取客户端有权访问的本地文件。
参考链接:https://www.oscs1024.com/hd/MPS-2022-62960

3.Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645)
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
受影响版本 Apache Linkis 在与 MySQL Connector/J 一起使用时,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可能通过反序列化在客户端执行远程代码。
攻击者控制 jdbc url 将 autoDeserialize 参数设置为 true,再通过控制 MySQL 服务在客户端执行任意远程代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-62961

4.Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)
Apache InLong 是可用于构建基于流式的数据分析、建模等一站式的海量数据集成框架。
在Apache InLong受影响版本中,由于MySQLSinkDTO.java中的filterSensitive方法未对allowLoadLocalInfile,allowUrlInLocalInfile,allowLoadLocalInfileInPath参数进行校验,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 allowLoadLocalInfile,allowUrlInLocalInfile,allowLoadLocalInfileInPath 参数为 true(默认false)时,可能通过控制 MySQL 服务读取客户端有权访问的本地文件。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3530

5.hutool 存在反序列化漏洞(CVE-2023-24162)
hutool是一款采用java开发的工具类库。
该项目受影响版本存在反序列化漏洞, 由于XmlUtil.readObjectFromXml方法调用XMLDecoder.readObject解析xml数据,未对输入的XML字符串进行安全检查,导致远程攻击者可以通过控制XML字符串进而执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2023-2460

6.Docker容器文件权限校验不严漏洞(CVE-2022-37708)
Docker 是一个开源的应用容器引擎。
在Docker受影响版本中,由于权限认证不当,当Docker容器中某个文件UID/GID与宿主机用户相同时,在文件被容器内的进程打开时,宿主机相同UID/GID的(低权限)用户也具备该文件权限。
当攻击者具有宿主机中与容器内目标文件所属UID/GID相同的用户权限时,可以通过遍历/proc目录获得容器内打开的文件描述符,通过文件描述符,对文件进行读取、写入操作。
参考链接:https://www.oscs1024.com/hd/MPS-2022-53621

7.Jira Service Management 身份验证不当漏洞(CVE-2023-22501)
Jira Service Management 是Atlassian公司开发的帮助台软件。
在受影响版本中存在身份验证不当漏洞,可能导致攻击者冒用其他用户的身份。由于Jira Service Management 开启用户目录和邮件外发的写入权限时,如果攻击者被包含在用户的issues、requests中 ,或攻击者获取了特定用户View Request邮件(如邮件转发),攻击者可以获得这些未登录用户的注册token,从而冒用其账号。
在开启单点登录的情况下,由于任何人都可以创建账号,项目中的外部客户账号将会受到影响。
参考链接:https://www.oscs1024.com/hd/MPS-2023-0002

8.Apache AGE <=1.1.0 SQL 注入漏洞(CVE-2022-45786)
Apache AGE 是用于提供图数据库功能的 PostgreSQL 扩展。
Golang 和 Python 的 AGE 驱动程序存在缺陷,当使用cypher方法时,在1.1.0版本及之前的PostgreSQL 11的AGE和PostgreSQL 12中存在SQL注入风险。
由于 cypher() 在Apache AGE中作为占位符,并未实际运行,导致对于接收的值不能直接进行参数化处理,攻击者可能利用此缺陷,构造恶意graphName参数,造成SQL注入漏洞,获取数据库敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2022-65096

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM仓库监测的恶意组件数量如下所示。

漏洞统计
本周新发现 44 个不同版本的恶意组件:

不同版本的恶意组件
  • 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。

其他资讯

微软将阻止 Excel 加载项以防止 Office 漏洞利用
https://www.darkreading.com/vulnerabilities-threats/microsoft-excel-add-ins-stop-office-exploits

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E%8B%E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9

漏洞情报订阅

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4684.html

(0)
上一篇 2023年2月6日 14:57
下一篇 2023年2月13日 10:32

相关推荐

  • 多个不同名称的 PyPI 包中发现 W4SP 窃取器

    威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid St…

    2023年2月17日
  • 开源无国界?vue-cli、node-ipc被投毒事件分析

    开源无国界?vue-cli、node-ipc被投毒事件分析 简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒,而被投毒的node-ipc包在npm上每周下载量超百万,影响非常广泛。 被投毒的情况如下: (问题组件每周下载量截图) 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec….

    2023年1月4日
  • Confluence WIKI OGNL注入漏洞(CVE-2022-26134)

    简述 6月4日,墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞。 Atlassian Confluence是企业常用的wiki系统,攻击者无需认证可利用漏洞在Confluence Server 或 Confluence Data Center 系统中执行…

    2023年1月4日
  • Gitlab OAuth注册默认口令漏洞分析(CVE-2022-1162)

    漏洞简述 3月30日,GitLab 官方修复了CE/EE版本产品中硬编码密码导致的接管用户账户的安全问题。 由于使用 OmniAuth 注册的代码逻辑中存在硬编码密码,导致账号可被攻击者直接登录。该漏洞受影响版本为 14.7.0 ~ 14.7.6,14.8.0 ~ 14.8.4,14.9.0 ~ 14.9.1,均为较高版本,且该漏洞依赖于开启 OmniAut…

    2023年1月4日
  • 小心白蛇!PyPI仓库被持续投放White Snake后门组件

    背景 墨菲安全实验室在持续监测开源软件仓库中的投毒行为,4 月 14 日起陆续发现至少 41 个包含白蛇(White Snake)后门的 Python 包被发布到 PyPI 仓库,目前相关的后门包仍在持续发布。 事件简述 白蛇 (WhiteSnake)是在今年 2 月份开始持续活跃、以信息窃取为目的的后门软件,其通过 telegram 等渠道进行售卖,按照不…

    2023年5月12日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741