1、Apache Superset<2.1.1 远程代码执行漏洞(CVE-2023-37941)
Apache Superset 是一个开源的数据可视化工具,metadata 数据库用于存储 Superset 元数据(如配置信息)。Python 的 pickle 包用于序列化和反序列化 Python 对象。
Apache Superset 2.1.1之前版本中使用 Python 的 pickle 包存储配置数据,对metadata数据库(如:SQLite)具有写访问权限的攻击者可通过SQL Lab等将恶意的 pickle 负载存储到 metadata 数据库,当 Superset 的 Web 后端反序列化该对象时触发远程代码执行。
Redis 是一个开源的键值型非关系数据库,SORT_RO命令用于对存储在 Redis 中的数据进行排序,ACL 配置指 Redis 的访问控制列表。
受影响版本中未正确识别由 SORT_RO 命令访问的键,攻击者可执行 SORT_RO 命令(如:sort_ro key)访问 ACL 配置中未授权访问的键。
3、Argo CD 集群密钥泄漏风险(CVE-2023-40029)
Argo CD 是用于 Kubernetes 的声明性 GitOps 持续交付工具,Kubernetes 集群密钥存储在 kubectl.kubernetes.io/last-applied-configuration 注解中。
由于 https://github.com/argoproj/argo-cd/pull/7139 中引入了用户管理集群的标签和注解的功能,具有Argo CD clusters, get RBAC权限的攻击者可通过 API 查看集群注解获取集群密钥,进而窃取或修改集群资源或造成拒绝服务。
Cacti 1.2.25之前版本中由于 reports_user.php 中的 ajax_get_branches 函数未对用户可控的 tree_id 进行过滤,具有 Cacti 登录权限的攻击者可向 /cacti/reports_user.php Api节点发送包含恶意 tree_id 参数的http请求获取数据库中任意数据。如果 Cacti 开启访客模式,攻击者无需身份认证即可利用此漏洞。
投毒者在 NPM 仓库发布了 kwaishop-radar 和 kwai-pymk 恶意组件包,当用户安装时会窃取Mac系统的系统架构、内存大小、主机名、用户名、网口信息等并发送到攻击者可控的服务器(81.70.191.194)。该系列投毒包的IOC地址为北京腾讯云服务器,包名容易与内部组件混淆,可能针对国内某互联网公司,建议开发者及时排查是否安装投毒组件包。
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 仓库监测的恶意组件数量如下所示:
本周新发现 324 个不同版本的恶意组件:
71%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
7%的投毒组件为:获取用户敏感信息(如账户密码、钱包地址、浏览器Cookie等)
7%的投毒组件为:安装木马后门文件
7%的投毒组件为:执行恶意代码
添加 Obal 欧宝加入交流群
