OSCS 社区共收录安全漏洞 10 个,公开漏洞值得关注的是 Guava<32.0.0 存在竞争条件漏洞(CVE-2023-2976)、 Nuxt.js <3.4.3 远程代码执行漏洞(POC公开)(CVE-2023-3224)、Openfire权限绕过漏洞(POC公开)(CVE-2023-32315)、Apache NiFi H2驱动存在代码注入漏洞(CVE-2023-34468)、Apache Nifi JMS组件存在JNDI反序列化漏洞(CVE-2023-34212)。
针对 NPM 、PyPI 仓库,共监测到 20 个不同版本的投毒组件。
1、Guava<32.0.0 存在竞争条件漏洞(CVE-2023-2976)
Guava 是 Google 公司开发的开源 Java 代码库,提供常用的Java工具和数据结构。
Guava 1.0 至 31.1 版本中的 FileBackedOutputStream 类使用Java的默认临时目录创建文件,由于创建的文件名容易被攻击者猜测,在 Unix 和 Android Ice Cream Sandwich 系统中,允许具有访问默认 Java 临时目录权限的攻击者可创建同名的恶意文件造成文件冲突,如果应用程序依赖于攻击者创建的恶意文件,攻击者可操控应用程序的行为。
32.0.0 版本修复了此漏洞但是与 Windows 系统不兼容,建议 Windows 系统升级到 32.0.1 版本。
参考链接:https://www.oscs1024.com/hd/MPS-mfku-xzh3
2、Nuxt.js <3.4.3 远程代码执行漏洞(POC公开)(CVE-2023-3224)
Nuxt.js(简称 Nuxt)是一个基于 Vue.js 的通用应用框架,用于构建服务端渲染的应用程序(SSR)和静态生成的网站。
Nuxt.js 3.4.3 之前版本中的 test-component-wrapper 组件的动态导入函数存在代码注入漏洞,当服务器在开发模式下运行且Node.js的版本为 12+ 时,攻击者可以利用 EMCAScript 的 'data: import' 功能导入恶意代码或者从 node_modules 中导入 gadget,进而远程执行恶意代码。
参考链接:https://www.oscs1024.com/hd/MPS-jfyi-nmsv
3、Openfire权限绕过漏洞(POC公开)(CVE-2023-32315)
Openfire是Java开发且基于XMPP(前称Jabber,即时通讯协议)的开源实时协作(RTC)服务器。
在受影响版本中,由于路径验证机制存在缺陷,攻击者可以通过/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp 形式的 URL 绕过访问控制,未授权访问后台页面,并进一步利用安装插件功能远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-cihu-kd0z
4、Apache NiFi H2驱动存在代码注入漏洞(CVE-2023-34468)
Apache NiFi 是一个开源的数据流处理和自动化工具,DBCPConnectionPool 和 HikariCPConnectionPool 是两个控制器服务,用于提供对数据库的连接池管理功能。
Apache NiFi 受影响版本,由于 DBCPConnectionPool 和 HikariCPConnectionPool 控制器服务未对用户配置的 H2 驱动程序的 URL 字符串进行验证,经过身份验证的攻击者可构造包含恶意负载的 H2 JDBC URL,在目标服务器上执行恶意代码。
建议开发者升级到 NiFi 1.22.0版本,该版本在默认配置中禁用 H2 JDBC URL修复此漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-v4am-pz0t
5、Apache Nifi JMS组件存在JNDI反序列化漏洞(CVE-2023-34212)
Apache NiFi 是一个开源的数据流处理和自动化工具, JndiJmsConnectionFactoryProvider 控制器组件用于配置 JMS 连接地址。
Apache NiFi 1.8.0 至 1.21.0 版本中,由于 JndiJmsConnectionFactoryProvider 控制器服务允许已授权的用户配置 URL 和库属性,经过身份验证的攻击者可在 ConnectionFactory 中将 JndiJmsConnectionFactoryProvider 的 JMS 连接地址配置为恶意的 JNDI 服务器,通过反序列化恶意构造的数据远程执行恶意代码。
用户可通过升级至 NiFi 1.22.0版本或在 bootstrap.conf 中配置 org.apache.nifi.jms.cf.jndi.provider.url.schemes.allowed 属性来禁用 JNDI URL 的LDAP功能缓解此漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-y8rd-wenb
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示:
本周新发现 20 个不同版本的恶意组件:
GravityRAT Android 木马窃取 WhatsApp 备份和删除文件
https://thehackernews.com/2023/06/warning-gravityrat-android-trojan.html
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
