OSCS 社区共收录安全漏洞 7 个,公开漏洞值得关注的是 Django 存在正则表达式拒绝服务漏洞(CVE-2023-36053)、Smartbi 登录代码逻辑漏洞(MPS-kb1w-cdn6)、GitLab CE/EE 公共组的名称或路径可被更改(CVE-2023-3484)、Apache MINA SSHD SFTP路径穿越漏洞(CVE-2023-35887)、Apache Johnzon 拒绝服务漏洞(CVE-2023-33008)。
针对 NPM 、PyPI 仓库,共监测到 52 个不同版本的投毒组件。
1、Django 存在正则表达式拒绝服务漏洞(CVE-2023-36053)
Django 是一个 Python 开发的开源Web框架,forms.FileField 和 forms.ImageField 是用于处理文件和图像上传的表单字段。
在Django受影响版本中由于EmailValidator / URLValidator未对接收的email、url内容进行长度限制,攻击者通过对email、url填充大量垃圾字符,即可导致Django拒绝服务。
参考链接:https://www.oscs1024.com/hd/MPS-8qin-r234
2、Smartbi 登录代码逻辑漏洞(MPS-kb1w-cdn6)
Smartbi是一款企业级商业智能与大数据分析平台。
由于Smartbi登录代码存在逻辑缺陷,攻击者可利用该漏洞登录管理员账号,进而利用系统后台加载扩展包功能执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-kb1w-cdn6
3、GitLab CE/EE 公共组的名称或路径可被更改(CVE-2023-3484)
GitLab 是一款基于Git的代码托管、版本控制、协作开发平台。
在 GitLab CE/EE 12.8 至 15.11.11 版本、16.0 至 16.0.7 版本以及 16.1 至 16.1.2版本中,在特定情况下,攻击者可以更改公共组的名称或路径。
参考链接:https://www.oscs1024.com/hd/MPS-93os-eldn
4、Apache MINA SSHD SFTP路径穿越漏洞(CVE-2023-35887)
Apache MINA SSHD 是一个为 Java 的应用程序提供 SSH 支持的 java 库。
Apache MINA SSHD 在受影响的版本中,由于没有在 RootedFileSystem 中限制 SFTP 用户的访问权限,攻击者可以利用路径中的".."和符号链接,查看根目录之外的文件或目录,导致服务器敏感信息泄漏的等
参考链接:https://www.oscs1024.com/hd/MPS-4amk-710b
5、Apache Johnzon 拒绝服务漏洞(CVE-2023-33008)。
Apache Johnzon 是用于解析和创建 JSONP 的 Java 库。
在 Apache Johnzon 受影响版本中,由于BigDecimal#toBigInteger()未对接收的参数进行大小限制,当攻击者对传入的JSON数据填充大量数字(例如 1e20000000 ),会造成拒绝服务。
参考链接:https://www.oscs1024.com/hd/MPS-2zow-5vi7
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 仓库监测的恶意组件数量如下所示:
本周新发现 32 个不同版本的恶意组件:
Google Play 上的两个间谍软件应用程序有 150 万用户向中国发送数据
https://thehackernews.com/2023/07/two-spyware-apps-on-google-play-with-15.html
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
