OSCS开源安全周报第 48 期：Grafana Azure AD环境身份认证绕过漏洞(CVE-2023-3128)- 大数跨境

首页

OSCS开源安全周报第 48 期：Grafana Azure AD环境身份认证绕过漏洞(CVE-2023-3128)

OSCS

2023-06-28

导读：OSCS 社区共收录安全漏洞 6 个，针对 NPM 、PyPI 仓库，共监测到 20 个不同版本的投毒组件。

本周安全态势综述

OSCS 社区共收录安全漏洞 6 个，公开漏洞值得关注的是 Grafana Azure AD环境身份认证绕过漏洞(CVE-2023-3128)、Apache Accumulo 身份认证过程缺陷(CVE-2023-34340)、BootCDN 投毒风险(MPS-zw9i-1xkb)、JeecgBoot <=3.5.1 存在sql注入漏洞(CVE-2023-34602)、SugarCRM 存在二阶PHP对象注入漏洞(CVE-2023-35810)。

针对 NPM 、PyPI 仓库，共监测到 28 个不同版本的投毒组件。

重要安全漏洞列表

1、Grafana Azure AD环境身份认证绕过漏洞(CVE-2023-3128)

Grafana 是一个跨平台、开源的数据可视化网络应用平台。Azure AD 是由微软提供的一种云身份验证和访问管理服务。

在 Azure AD 中，多个用户可以拥有相同的电子邮件地址。攻击者可以创建一个与目标 Grafana 账户相同的电子邮件地址的恶意帐户，并且在 Azure AD 中配置支持多租户。

当 Grafana 使用 Azure AD 进行身份验证时，由于没有对 Azure AD 租户邮箱的唯一性进行验证，攻击者可以通过身份验证，接管目标用户的 Grafana 账户。

参考链接：https://www.oscs1024.com/hd/MPS-rsc9-y5u2

2、Apache Accumulo 身份认证过程缺陷(CVE-2023-34340)

Apache Accumulo是一个排序分布式的 Key-Value 存储应用。

在Apache Accumulo 2.1.0版本中，AccumuloClient 在构造新的实例时移除了自动身份验证机制，身份验证始终在 shell 中进行。当 shell 闲置时间过长，需要重新进行身份验证时，由于身份凭证存放在客户端的配置文件中，用户输入任何内容都可以通过验证。

参考链接：https://www.oscs1024.com/hd/MPS-5l0p-exd9

3、BootCDN 投毒风险(MPS-zw9i-1xkb)

BootCDN是免费的前端开源项目 CDN 加速服务，通过同步cdnjs仓库，提供了常用javascript组件的CDN服务。

多个开发者发现在特定请求中（如特定Referer及移动端user-agent）会返回包含指向union.macoms.la地址的恶意js文件，导致加载云端控制的广告内容。

建议开发者谨慎使用BootCDN，添加SRI防止CDN劫持js文件。

参考链接：https://mp.weixin.qq.com/s/NjLXRq2_N-SNAD-no0NEYg

4、JeecgBoot <=3.5.1 存在sql注入漏洞(CVE-2023-34602)

JeecgBoot 是一款开源的基于代码生成的快速开发平台。

受影响版本中，由于 SystemApiController#queryTableDictItemsByCode 方法未对用户可控的 text 参数进行过滤，当 JeecgBoot 开启 sys/api/queryTableDictItemsByCode api接口时(默认不开启)，具有登录权限攻击者可利用该漏洞获取数据库中的敏感信息。

用户可参考官方文档配置黑名单缓解此漏洞：

https://help.jeecg.com/java/java/config/sqlblacklist.html

参考链接：https://www.oscs1024.com/hd/MPS-okys-m9ai

5、SugarCRM 存在二阶PHP对象注入漏洞(CVE-2023-35810)

SugarCRM 是一款开源的客户关系管理（CRM）软件。

受影响版本中，由于缺少输入验证，DocuSign 模块中存在二阶 PHP 对象注入漏洞。具有管理员权限的攻击者可通过 DocuSign 模块注入和执行自定义 PHP 代码。

参考链接：https://www.oscs1024.com/hd/MPS-lf2x-y6h4

*查看漏洞详情页，支持免费检测项目中使用了哪些有缺陷的第三方组件