OSCS开源安全周报第 68 期：Apache Struts2 存在远程代码执行漏洞- 大数跨境

首页

OSCS开源安全周报第 68 期：Apache Struts2 存在远程代码执行漏洞

OSCS

2023-12-12

导读：OSCS 社区共收录安全漏洞 5 个，针对 NPM 仓库，共监测到 79 个不同版本的投毒组件

本周安全态势综述

OSCS 社区共收录安全漏洞 5 个，公开漏洞值得关注的是 Apache Struts2 存在远程代码执行漏洞(CVE-2023-50164)、Atlassian Confluence Data Center/Server 模板注入漏洞(CVE-2023-22522)、curl cookie 绕过PSL限制漏洞(CVE-2023-46218)、Apache OFBiz 未授权远程代码执行漏洞(CVE-2023-49070)。

针对 NPM/PyPI 仓库共监测到 79 个不同版本的投毒组件。

重要安全漏洞列表

1、Apache Struts2 存在远程代码执行漏洞(CVE-2023-50164)

Apache Struts是美国阿帕奇（Apache）基金会的开源Web项目，是一套用于创建企业级Java Web应用的开源MVC框架。

在受影响版本中，由于对HTTP请求参数名称的大小写校验处理不当，攻击者可能控制文件上传参数从而导致路径遍历，从而上传恶意文件到服务器并被用于远程代码执行。

参考链接：https://www.oscs1024.com/hd/MPS-5qa9-hjgt

2、Atlassian Confluence Data Center/Server 模板注入漏洞(CVE-2023-22522)

Confluence 是由Atlassian公司开发的企业协作和文档管理工具。

Atlassian Confluence Data Center/Server 受影响版本中，由于在加载用户传入的模版时未验证文件类型（应只允许.vm, .vmd, .css, .xml类型），导致模版注入漏洞。具有Confluence实例登陆权限（包括匿名访问权限）的攻击者可以通过上传恶意的模版文件，在Confluence实例上执行任意远程代码。如果 Confluence 站点托管在Atlassian Cloud(域名为：atlassian.net)，则不受此漏洞影响。

参考链接：https://www.oscs1024.com/hd/MPS-2023-0023

3、curl cookie 绕过PSL限制漏洞(CVE-2023-46218)

curl 是用于在各种网络协议之间传输数据的命令行工具。

漏洞利用 curl 的Curl_cookie_add函数中的一个混合大小写的缺陷，允许一个恶意站点在 curl 中设置“超级 cookie”，这个 cookie可以被更多的域名访问。例如，一个 cookie 可以使用 domain=co.UK这样的一个顶级域，来绕过默认不允许设置的co.uk（PSL 中的域名）。

参考链接：https://www.oscs1024.com/hd/MPS-vdg2-0pwf

4、Apache OFBiz 未授权远程代码执行漏洞(CVE-2023-49070)

Apache OFBiz 是一个开源的企业资源计划系统。Apache XML-RPC 是 XML-RPC 的 Java 实现，XML-RPC 是一种使用 XML over HTTP 来实现远程过程调用的协议。

由于OFBiz使用了有反序列化漏洞且不再维护的的XML-RPC（CVE-2019-17570），攻击者可以通过请求：

/webtools/control/xmlrpc;/?USERNAME=&PASSWORD=s&requirePasswordChange=Y

绕过针对/control/xmlrpc的接口过滤限制（CVE-2020-9496），从而使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。

在修复版本中，Apache OFBiz移除了XML-RPC的相关代码。

参考链接：https://www.oscs1024.com/hd/MPS-ope5-i4zj

5、NPM组件包 web3-core-subscription 携带恶意木马