OSCS 社区共收录安全漏洞 8 个,公开漏洞值得关注的是 PaddlePaddle<2.6.0 存在命令注入漏洞(CVE-2023-52310)、follow-redirects<1.15.4 主机名验证不当漏洞(CVE-2023-26159)、Apache InLong updateAuditSource方法命令注入漏洞(CVE-2023-51784)、JEECG jeecgFormDemoController 接口存在任意代码执行漏洞(CVE-2023-49442)、Google Chrome<120.0.6099.199 存在释放后使用漏洞(CVE-2024-0222)。
针对 NPM/PyPI 仓库共监测到 3213 个不同版本的投毒组件。
1、PaddlePaddle<2.6.0 存在命令注入漏洞(CVE-2023-52310)
PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。
PaddlePaddle 2.6.0之前版本中由于 get_online_pass_interval 函数未对用户可控的 days 和 hours 参数进行过滤,当调用 get_online_pass_interval 函数对每个 Pass 生成数据分片列表时,攻击者可构造包含恶意的 days 或 hours 参数实现任意命令执行。
参考链接:https://www.oscs1024.com/hd/MPS-byhf-uv17
2、follow-redirects<1.15.4 主机名验证不当漏洞(CVE-2023-26159)
follow-redirects 是用于自动处理 HTTP 和 HTTPS 请求重定向的NPM组件包。
follow-redirects 1.15.4之前版本中的 spreadUrlObject 方法处理以 [ 字符开头的 url 主机名或者其它无效 url 时会调用 url.parse 方法解析攻击者可控的 url 链接。由于 url.parse 方法存在Hostname spoofing漏洞,攻击者可构造恶意的 url 请求进行开放重定向和SSRF攻击,窃取用户信息或进行内网探测等。
参考链接:https://www.oscs1024.com/hd/MPS-2023-5153
3、Apache InLong updateAuditSource方法命令注入漏洞(CVE-2023-51784)
Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计数据写到 MySQL、Elasticsearch、ClickHouse中的一个子系统。
Apache InLong 1.5.0至1.9.0版本中,由于 updateAuditSource 方法未对用户可控的参数有效过滤,攻击者可在更新 Audit source 时传入恶意的 Audit source URL 导致远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-81gu-tekl
4、JEECG jeecgFormDemoController接口存在任意代码执行漏洞(CVE-2023-49442)
JEECG(J2EE Code Generation) 是开源的代码生成平台,最新 4.0 版本发布于 2019年8月5日,目前已停止维护。
JEECG 4.0及之前版本中,由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 ../ 的url绕过鉴权。因为依赖 1.2.31 版本的 fastjson,该版本存在反序列化漏洞。攻击者可对 /api/../jeecgFormDemoController.do?interfaceTest 接口进行 jndi 注入攻击实现远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-o8a2-7rik
5、Google Chrome<120.0.6099.199 存在释放后使用漏洞(CVE-2024-0222)
Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES 和 Vulkan,广泛用于图形渲染和游戏应用中。glCopyTexImage2D是OpenGL的一个函数,用于从当前的缓冲区中复制像素到一个二维纹理图像。
Google Chrome 120.0.6099.199 之前版本中,当 Vulkan 调用 glCopyTexImage2D 函数复制同源的纹理时会触发释放后使用漏洞,攻击者可诱导用户访问恶意制作的 HTML 页面造成浏览器崩溃或远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-ler0-8tok
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 仓库监测的恶意组件数量如下所示:
本周新发现 3213 个不同版本的恶意组件:
7%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
5%的投毒组件为:获取用户敏感信息(如账户密码、钱包地址、浏览器Cookie等)
7%的投毒组件为:安装木马后门文件
81%的投毒组件为:执行恶意代码(如删除目录、dos等)
SpectralBlur:来自朝鲜黑客的新 macOS 后门威胁
https://thehackernews.com/2024/01/spectralblur-new-macos-backdoor-threat.html
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E%8B%E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9
