二月最新漏洞列表

Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

本周安全态势综述

OSCS 社区共收录安全漏洞 10个,公开漏洞值得关注的是 Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977),hutool 存在反序列化漏洞(CVE-2023-24162),Docker容器文件权限校验不严漏洞(CVE-2022-37708),Jira Service Management 身份验证不当漏洞(CVE-2023-22501),Apache AGE <=1.1.0 SQL 注入漏洞(CVE-2022-45786)。
针对 NPM 、PyPI 仓库,共监测到 44 个不同版本的 NPM 、PyPI 投毒组件。

重要安全漏洞列表

1.Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829)
Apache IoTDB-Workbench 是 IoTDB (一款针对时序数据的数据管理系统) 的可视化管理工具。
受影响版本的 Apache IoTDB-Workbench 能根据默认的 root 用户名构造 JWTToken,导致攻击者能绕过登录限制直接访问工作台。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3335

2.Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644)
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
受影响版本的 Apache Linkis 在与 MySQL Connector/J 一起使用时,恶意用户在控制连接的 MySQL 服务并设置 jdbc url 中的 allowLoadLocalInfile 参数为 true(默认false)后能够读取客户端有权限访问的任意本地文件。
攻击者控制 jdbc url 将 allowLoadLocalInfile 参数设置为 true,再通过控制 MySQL 服务读取客户端有权访问的本地文件。
参考链接:https://www.oscs1024.com/hd/MPS-2022-62960

3.Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645)
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
受影响版本 Apache Linkis 在与 MySQL Connector/J 一起使用时,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可能通过反序列化在客户端执行远程代码。
攻击者控制 jdbc url 将 autoDeserialize 参数设置为 true,再通过控制 MySQL 服务在客户端执行任意远程代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-62961

4.Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)
Apache InLong 是可用于构建基于流式的数据分析、建模等一站式的海量数据集成框架。
在Apache InLong受影响版本中,由于MySQLSinkDTO.java中的filterSensitive方法未对allowLoadLocalInfile,allowUrlInLocalInfile,allowLoadLocalInfileInPath参数进行校验,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 allowLoadLocalInfile,allowUrlInLocalInfile,allowLoadLocalInfileInPath 参数为 true(默认false)时,可能通过控制 MySQL 服务读取客户端有权访问的本地文件。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3530

5.hutool 存在反序列化漏洞(CVE-2023-24162)
hutool是一款采用java开发的工具类库。
该项目受影响版本存在反序列化漏洞, 由于XmlUtil.readObjectFromXml方法调用XMLDecoder.readObject解析xml数据,未对输入的XML字符串进行安全检查,导致远程攻击者可以通过控制XML字符串进而执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2023-2460

6.Docker容器文件权限校验不严漏洞(CVE-2022-37708)
Docker 是一个开源的应用容器引擎。
在Docker受影响版本中,由于权限认证不当,当Docker容器中某个文件UID/GID与宿主机用户相同时,在文件被容器内的进程打开时,宿主机相同UID/GID的(低权限)用户也具备该文件权限。
当攻击者具有宿主机中与容器内目标文件所属UID/GID相同的用户权限时,可以通过遍历/proc目录获得容器内打开的文件描述符,通过文件描述符,对文件进行读取、写入操作。
参考链接:https://www.oscs1024.com/hd/MPS-2022-53621

7.Jira Service Management 身份验证不当漏洞(CVE-2023-22501)
Jira Service Management 是Atlassian公司开发的帮助台软件。
在受影响版本中存在身份验证不当漏洞,可能导致攻击者冒用其他用户的身份。由于Jira Service Management 开启用户目录和邮件外发的写入权限时,如果攻击者被包含在用户的issues、requests中 ,或攻击者获取了特定用户View Request邮件(如邮件转发),攻击者可以获得这些未登录用户的注册token,从而冒用其账号。
在开启单点登录的情况下,由于任何人都可以创建账号,项目中的外部客户账号将会受到影响。
参考链接:https://www.oscs1024.com/hd/MPS-2023-0002

8.Apache AGE <=1.1.0 SQL 注入漏洞(CVE-2022-45786)
Apache AGE 是用于提供图数据库功能的 PostgreSQL 扩展。
Golang 和 Python 的 AGE 驱动程序存在缺陷,当使用cypher方法时,在1.1.0版本及之前的PostgreSQL 11的AGE和PostgreSQL 12中存在SQL注入风险。
由于 cypher() 在Apache AGE中作为占位符,并未实际运行,导致对于接收的值不能直接进行参数化处理,攻击者可能利用此缺陷,构造恶意graphName参数,造成SQL注入漏洞,获取数据库敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2022-65096

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM仓库监测的恶意组件数量如下所示。

漏洞统计
本周新发现 44 个不同版本的恶意组件:

不同版本的恶意组件
  • 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。

其他资讯

微软将阻止 Excel 加载项以防止 Office 漏洞利用
https://www.darkreading.com/vulnerabilities-threats/microsoft-excel-add-ins-stop-office-exploits

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E%8B%E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9

漏洞情报订阅

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4684.html

(0)
上一篇 2023年2月6日 14:57
下一篇 2023年2月13日 10:32

相关推荐

  • 投毒者对 PyPi 上的开源组件开发者下手了

    简述 OSCS 近期监测到 PyPi 官方发布公告称有攻击者针对 PyPi 上的开源组件开发者进行钓鱼,试图窃取 PyPi 贡献者的凭据。本次攻击是通过贼喊捉贼的假装PyPi官方给恶意包发邮箱进行钓鱼,开发者可以通过开启2FA认证防止被攻击者窃取凭据后更改项目。 钓鱼事件 通过钓鱼邮件获取 PyPi 贡献者的凭据 根据PyPi官方发布的公告得知: PyPi …

    2023年1月5日
  • Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞

    漏洞发现时间 2022-03-24 漏洞验证时间 2022-03-25,已第一时间提交CNVD 标题 Spring Cloud Function 3.0.0.RELEASE~3.2.2 版本SPEL表达式注入漏洞 漏洞编号 MPS-2022-6799 发现方式 墨菲安全实验室情报预警监控 语言 java 影响组件及版本 org.springframework…

    漏洞分析 2023年1月4日
  • “Dirty Pipe”的故事-Linux 内核提权漏洞 (CVE-2022-0847)

    漏洞简述 3月7日,开发者 Max Kellermann 在他的博客(https://dirtypipe.cm4all.com/)中披露了一个能导致 Linux 权限提升的漏洞,编号为 CVE-2022-0847,他称之为 “The Dirty Pipe Vulnerability” (“脏管道”漏洞)。 Linux 5.10版本前的一次 commit 中,…

    2023年1月4日
  • Apache Kafka Connect 模块JNDI注入(CVE-2023-25194)

    漏洞概述 Apache Kafka Connect服务在2.3.0 至 3.3.2 版本中,由于连接时支持使用基于JNDI认证的SASL JAAS配置,导致配置在被攻击者可控的情况下,可能通过JNDI注入执行任意代码。此漏洞不影响 Kafka server(broker),Kafka Connect服务通常用于在云平台中提供Kafka数据迁移、数据同步的管道…

    2023年2月13日
  • npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除

    一、事件简述 1月5日,有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件,该组件存在收集配置信息和删除本地文件的恶意逻辑,当前 NPM 仓库已经下线了该组件。 chalk-next 组件的开发者也是 vue-admin-beautiful 项目的作者 chuzhixin,vue-admin-beautiful 项目在 Gi…

    2023年1月6日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741