本周安全态势综述
OSCS 社区共收录安全漏洞 10个,公开漏洞值得关注的是 Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977),hutool 存在反序列化漏洞(CVE-2023-24162),Docker容器文件权限校验不严漏洞(CVE-2022-37708),Jira Service Management 身份验证不当漏洞(CVE-2023-22501),Apache AGE <=1.1.0 SQL 注入漏洞(CVE-2022-45786)。
针对 NPM 、PyPI 仓库,共监测到 44 个不同版本的 NPM 、PyPI 投毒组件。
重要安全漏洞列表
1.Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829)
Apache IoTDB-Workbench 是 IoTDB (一款针对时序数据的数据管理系统) 的可视化管理工具。
受影响版本的 Apache IoTDB-Workbench 能根据默认的 root 用户名构造 JWTToken,导致攻击者能绕过登录限制直接访问工作台。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3335
2.Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644)
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
受影响版本的 Apache Linkis 在与 MySQL Connector/J 一起使用时,恶意用户在控制连接的 MySQL 服务并设置 jdbc url 中的 allowLoadLocalInfile 参数为 true(默认false)后能够读取客户端有权限访问的任意本地文件。
攻击者控制 jdbc url 将 allowLoadLocalInfile 参数设置为 true,再通过控制 MySQL 服务读取客户端有权访问的本地文件。
参考链接:https://www.oscs1024.com/hd/MPS-2022-62960
3.Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645)
Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。
受影响版本 Apache Linkis 在与 MySQL Connector/J 一起使用时,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参数为 true(默认false)时,可能通过反序列化在客户端执行远程代码。
攻击者控制 jdbc url 将 autoDeserialize 参数设置为 true,再通过控制 MySQL 服务在客户端执行任意远程代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-62961
4.Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)
Apache InLong 是可用于构建基于流式的数据分析、建模等一站式的海量数据集成框架。
在Apache InLong受影响版本中,由于MySQLSinkDTO.java中的filterSensitive方法未对allowLoadLocalInfile,allowUrlInLocalInfile,allowLoadLocalInfileInPath参数进行校验,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 allowLoadLocalInfile,allowUrlInLocalInfile,allowLoadLocalInfileInPath 参数为 true(默认false)时,可能通过控制 MySQL 服务读取客户端有权访问的本地文件。
参考链接:https://www.oscs1024.com/hd/MPS-2023-3530
5.hutool 存在反序列化漏洞(CVE-2023-24162)
hutool是一款采用java开发的工具类库。
该项目受影响版本存在反序列化漏洞, 由于XmlUtil.readObjectFromXml方法调用XMLDecoder.readObject解析xml数据,未对输入的XML字符串进行安全检查,导致远程攻击者可以通过控制XML字符串进而执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2023-2460
6.Docker容器文件权限校验不严漏洞(CVE-2022-37708)
Docker 是一个开源的应用容器引擎。
在Docker受影响版本中,由于权限认证不当,当Docker容器中某个文件UID/GID与宿主机用户相同时,在文件被容器内的进程打开时,宿主机相同UID/GID的(低权限)用户也具备该文件权限。
当攻击者具有宿主机中与容器内目标文件所属UID/GID相同的用户权限时,可以通过遍历/proc目录获得容器内打开的文件描述符,通过文件描述符,对文件进行读取、写入操作。
参考链接:https://www.oscs1024.com/hd/MPS-2022-53621
7.Jira Service Management 身份验证不当漏洞(CVE-2023-22501)
Jira Service Management 是Atlassian公司开发的帮助台软件。
在受影响版本中存在身份验证不当漏洞,可能导致攻击者冒用其他用户的身份。由于Jira Service Management 开启用户目录和邮件外发的写入权限时,如果攻击者被包含在用户的issues、requests中 ,或攻击者获取了特定用户View Request邮件(如邮件转发),攻击者可以获得这些未登录用户的注册token,从而冒用其账号。
在开启单点登录的情况下,由于任何人都可以创建账号,项目中的外部客户账号将会受到影响。
参考链接:https://www.oscs1024.com/hd/MPS-2023-0002
8.Apache AGE <=1.1.0 SQL 注入漏洞(CVE-2022-45786)
Apache AGE 是用于提供图数据库功能的 PostgreSQL 扩展。
Golang 和 Python 的 AGE 驱动程序存在缺陷,当使用cypher方法时,在1.1.0版本及之前的PostgreSQL 11的AGE和PostgreSQL 12中存在SQL注入风险。
由于 cypher() 在Apache AGE中作为占位符,并未实际运行,导致对于接收的值不能直接进行参数化处理,攻击者可能利用此缺陷,构造恶意graphName参数,造成SQL注入漏洞,获取数据库敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2022-65096
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
投毒风险监测
OSCS 针对 NPM仓库监测的恶意组件数量如下所示。
本周新发现 44 个不同版本的恶意组件:
- 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。
其他资讯
微软将阻止 Excel 加载项以防止 Office 漏洞利用
https://www.darkreading.com/vulnerabilities-threats/microsoft-excel-add-ins-stop-office-exploits
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/vulnerability-analysis/4684.html
