OSCS 社区共收录安全漏洞 6 个,公开漏洞值得关注的是 Requests Proxy-Authorization 标头泄露漏洞(CVE-2023-32681)、GitLab CE/EE 16.0.0存在路径遍历漏洞(CVE-2023-2825)、SQLite JDBC 远程代码执行漏洞(CVE-2023-32697)、Apache Inlong 存在JDBC反序列化漏洞(CVE-2023-31058)、Apache Tomcat 拒绝服务漏洞(CVE-2023-28709)、明源云ERP存在任意文件上传漏洞(MPS-semw-2cv8)。
针对 NPM 、PyPI 仓库,共监测到 85 个不同版本的投毒组件。
1.Requests Proxy-Authorization 标头泄露漏洞(CVE-2023-32681)
Requests是一个Python的HTTP客户端库。
Requests受影响版本中,请求重定向到 HTTPS 或者通过隧道发送CONNECT类型的HTTPS请求时,Proxy-Authorization 标头会泄漏到目标服务器,这会导致用户的敏感信息被泄露。
参考链接:https://www.oscs1024.com/hd/MPS-hr61-tzey
2.GitLab CE/EE 16.0.0存在路径遍历漏洞(CVE-2023-2825)
GitLab 是一款基于Git的代码托管、版本控制、协作开发平台。
在 GitLab CE/EE 16.0.0版本中 ,在文件上传时未对filename参数进行安全过滤,导致存在路径遍历漏洞,若嵌套在五个组及以上的公共项目中存在附件时,未经身份验证的攻击者可以利用此漏洞读取服务器任意文件。
参考链接:https://www.oscs1024.com/hd/MPS-7coe-gnr6
3.SQLite JDBC 远程代码执行漏洞(CVE-2023-32697)
Netfilter 是 Linux kernel 的一个子系统,用于提供网络数据包过滤和网络地址转换功能。
SQLite JDBC是一个用于在Java中访问和创建SQLite数据库文件的库。在Sqlite-jdbc版3.6.14.1版本到3.41.2.1版本中,在使用Sqlite-jdbc访问SQLite数据库时,攻击者通过恶意构造JDBC URL可以造成远程代码执行漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-zprx-hdwf
4.Apache Inlong 存在JDBC反序列化漏洞(CVE-2023-31058)
Apache InLong 是可用于构建基于流式的数据分析、建模等一站式的海量数据集成框架。
在Apache Inlong受影响版本,由于未对接收的jdbcUrl参数过滤空格字符,导致可以利用空格绕过jdbcUrl中autoDeserialize参数过滤限制,通过认证的攻击者利用可控的jdbcUrl参数内容在MySQL 服务端触发反序列化造成任意代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-ygwh-pm1u
5.Apache Tomcat 拒绝服务漏洞(CVE-2023-28709)
Apache Commons FileUpload 是一个向 servlet 和 Web 应用程序提供文件上传功能的开源组件。
Apache Tomcat 受影响版本存在拒绝服务漏洞。如果使用了非默认的HTTP连接器设置,且提交一个通过查询字符串包含maxparametercount参数的请求,则可以绕过对上传请求的限制,进而导致拒绝服务。
参考链接:https://www.oscs1024.com/hd/MPS-2023-8612
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。
本周新发现 85 个不同版本的恶意组件:
100% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
52%的投毒组件为:下载恶意后门文件
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
添加 Obal 欧宝加入交流群
