OSCS开源安全周报第 53 期：Metabase 远程代码执行漏洞(CVE-2023-38646)- 大数跨境

首页

OSCS开源安全周报第 53 期：Metabase 远程代码执行漏洞(CVE-2023-38646)

OSCS

2023-08-03

导读：OSCS 社区共收录安全漏洞 5 个，针对 NPM 、PyPI 仓库，共监测到 39 个不同版本的投毒组件

本周安全态势综述

OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 Metabase 远程代码执行漏洞(CVE-2023-38646)、Apache Shiro 身份验证绕过漏洞(CVE-2023-34478)、Apache Jackrabbit 反序列化漏洞(CVE-2023-37895)、PowerJob<=4.3.3 远程代码执行漏洞(CVE-2023-37754)、Apache NiFi 远程资源检索功能存在命令注入漏洞(CVE-2023-36542)。

针对 NPM 、PyPI 仓库，共监测到 86 个不同版本的毒组件。

重要安全漏洞列表

1、Metabase 远程代码执行漏洞(CVE-2023-38646)

Metabase 是一个开源的数据分析和可视化工具。

Metabase 受影响中在使用 H2 数据库驱动时存在 sql 注入，未经授权的攻击者可 /api/setup/validate 端点发送恶意构造的 JDBC URI ，利用 sql 注入在目标服务器上执行任意命令。

参考链接：https://www.oscs1024.com/hd/MPS-7eiv-6n5a

2、Apache Shiro 身份验证绕过漏洞(CVE-2023-34478)

Apache Shiro 是一个开源的Java安全框架，用于简化应用程序的身份验证、授权、加密和会话管理等安全相关的操作。

Apache Shiro 受影响版本中，由于 InvalidRequestFilter#isAccessAllowed 方法未对用户可控的URL参数有效过滤，当后端API或Web框架未对URL归一化时，攻击者可能构造包含恶意字符(如：%2e%2E)的URL参数绕过身份验证，读取系统敏感文件信息。

参考链接：https://www.oscs1024.com/hd/MPS-i2ro-tb93

3、Apache Jackrabbit 反序列化漏洞(CVE-2023-37895)

Apache Jackrabbit是一个内容仓库，适用于构建各种内容管理应用程序。

在webapp、standalone版本中使用了 commons-beanutils 组件来进行对象反序列化。由于commons-beanutils中存在一个通过 RMI 执行远程代码的类，攻击者通过构造的恶意序列化数据，发送到目标系统上的 RMI 服务端口（默认为1099端口）或发送到RMI-over-HTTP路径（默认路径为"/rmi"）。当目标系统反序列化数据时，将会执行恶意代码。

参考链接：https://www.oscs1024.com/hd/MPS-4o5f-eh20

4、PowerJob<=4.3.3 远程代码执行漏洞(CVE-2023-37754)

PowerJob 是一款开源的分布式任务调度框架。

由于 PowerJob 未对网关进行鉴权，4.3.3 及之前版本中，未经授权的攻击者可向 /instance/detail 端点发送恶意构造的 instanceId 参数远程执行任意代码。

参考链接：https://www.oscs1024.com/hd/MPS-ycmw-pl41

5、Apache NiFi 远程资源检索功能存在命令注入漏洞(CVE-2023-36542)

Apache NiFi 是一个开源的数据流处理和自动化工具。

Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Processors 和 Controller Services，但是未限制普通身份用户配置此功能。经过身份验证的攻击者可配置恶意的外部资源引用地址，当组件加载攻击者可控的恶意配置文件或附加库时触发远程代码执行。

参考链接：https://www.oscs1024.com/hd/MPS-h7gi-f1vl

*查看漏洞详情页，支持免费检测项目中使用了哪些有缺陷的第三方组件