OSCS 社区共收录安全漏洞 6 个,公开漏洞值得关注的是 GeoServer 文件上传漏洞(CVE-2023-51444)、Spring Security AuthenticatedVoter 方法验证不当漏洞(CVE-2024-22257)、Node.js setuid 权限管理不当漏洞(CVE-2024-22017)、用友 U8cloud MeasureQueryByToolAction SQL注入漏洞(MPS-qw90-6ekn)、Atlassian Confluence 路径遍历漏洞(CVE-2024-21677)、Deno socket 会话数据污染漏洞(CVE-2024-27935)。
针对 NPM/PyPI 仓库共监测到 30 个不同版本的投毒组件。
1、GeoServer 文件上传漏洞(CVE-2023-51444)
GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。
GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的文件包装器资源路径是否包含"..",有登陆权限的攻击者可以通过构造恶意的 REST Coverage Store API 请求,上传任意文件以此执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-k1cj-eg7w
2、Spring Security AuthenticatedVoter 方法验证不当漏洞(CVE-2024-22257)
Spring Security 是基于Spring应用程序的认证和访问控制框架
Spring Security在处理Authentication参数时没有对null值进行检查。当应用程序直接使用AuthenticatedVoter#vote方法,传入null作为认证参数时会错误地返回true值。攻击者可利用该漏洞绕过身份验证,进行提权或窃取系统敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-ucl7-dyox
3、Node.js setuid 权限管理不当漏洞(CVE-2024-22017)
Node.js 是开源、跨平台的 JavaScript 运行时环境。io_uring是Linux内核提供的一种高性能异步I/O机制。
在受影响的版本中,由于libuv的io_uring支持存在安全漏洞。如果在调用setuid()之前使用高权限初始化了libuv的io_uring操作,则setuid()并不能真正撤销io_uring初始化时获得的高权限。攻击者可以利用该漏洞绕过setuid()函数的特权降级机制,利用高权限进行操作。
参考链接:https://www.oscs1024.com/hd/MPS-53sx-8oyz
4、用友 U8cloud MeasureQueryByToolAction SQL注入漏洞(MPS-qw90-6ekn)
用友 U8 Cloud 是用友软件公司开发的云端企业管理软件。
由于MeasureQueryByToolAction接口未使用SQLParamValidator.validate()方法过滤用户输入strMq参数,未授权攻击者可以利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问和操作。
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn
5、Atlassian Confluence 路径遍历漏洞(CVE-2024-21677)
Confluence 是由Atlassian公司开发的企业协作和文档管理工具。
Atlassian Confluence Data Center/Server 在6.13.0版本开始存在路径遍历漏洞,未经身份验证的攻击者可能通过该漏洞获取敏感信息。
攻击过程需要用户交互,可能与附件处理逻辑有关,目前暂无相关细节。
参考链接:https://www.oscs1024.com/hd/MPS-y5pm-1c07
5、Deno socket 会话数据污染漏洞(CVE-2024-27935)
Deno 是开源的一个简单、现代且安全的 JavaScript 和 TypeScript 运行环境。
在 Deno 的 Node.js 兼容运行环境中,由于 stream_wrap.ts 中重用全局缓冲区(BUF)来执行 socket 或文件源的 Node.js 流的异步读取操作时,使用 #read() 方法来读取全局缓冲区中的数据,导致所有读取操作共用同一缓冲区,从而引发了数据隔离的失败,使得某一会话的数据有可能被错误地传送到另一会话中。攻击者可以通过创建socket读取全局缓冲区中的敏感信息。
该漏洞不会影响使用 Deno.listen 和 Deno.connect API 创建的 Deno 网络流。
参考链接:https://www.oscs1024.com/hd/MPS-4dbm-51vn
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 仓库监测的恶意组件数量如下所示:
俄罗斯黑客用 WineLoader 恶意软件瞄准德国政党
https://www.bleepingcomputer.com/news/security/russian-hackers-target-german-political-parties-with-wineloader-malware/
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E%8B%E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9
