OSCS 社区共收录安全漏洞 17 个,公开漏洞值得关注的是 Spring Security Logout实现不当漏洞(CVE-2023-20862)、vm2 <3.9.17 沙箱逃逸漏洞(CVE-2023-30547)、WebLogic LinkRef 反序列化远程代码执行漏洞(CVE-2023-21931)、MySQL Server拒绝服务漏洞(CVE-2023-21912)、Strapi <4.5.6 远程代码执行漏洞(CVE-2023-22621)、Spring Boot在Cloud Foundry中部署存在路由限制绕过风险(CVE-2023-20873),泛微 e-cology <10.57 存在 SQL注入漏洞(MPS-ndqt-0im5)。
针对 NPM 、PyPI 仓库,共监测到 176 个不同版本的投毒组件。
1.Spring Security Logout 实现不当漏洞(CVE-2023-20862)
Spring Security 是一套为基于 Spring 的应用程序提供说明性安全保护的安全框架。
在受影响版本中,由于提供的 logout 功能在序列化 session 中没有完全清理安全上下文,导致用户退出登录后仍然保持会话身份。
以下任一场景将受到影响:
a. 应用中通过将空的 SecurityContext 写入 HttpSessionSecurityContextRepository 手动实现 logout
b. 应用中使用 SecurityContextHolderFilter 或 requireExplicitSave(true) 且在序列化session的场景中使用了 Spring Security 提供的 logout 功能(如Spring Session),同时配置了 invalidateHttpSession(false)
c. 应用中自定义了不依赖 HttpSession的SecurityContextRepository
不受影响的场景包括:
a. 代码中使用 SecurityContextPersistenceFilter 或 requireExplicitSave(false)
b. session 存储在内存中
c. 未通过写入空的 SecurityContext 进 HttpSessionSecurityContextRepository 来手动logout
参考链接:https://www.oscs1024.com/hd/MPS-2022-62834
2.vm2 <3.9.17 沙箱逃逸漏洞(CVE-2023-30547)
vm2 是一个基于 Node.js 的沙箱环境,可以使用列入白名单的 Node 内置模块运行不受信任的代码。
由于 CVE-2023-29199 的修复不完整,vm2 3.9.17 之前版本的 transformer.js 文件中的 transformer 函数异常处理逻辑存在缺陷。攻击者可以利用这个缺陷,在 handleException() 函数中构造一个主机异常,从而绕过沙箱限制,实现在主机中执行任意代码的攻击。
参考链接:https://www.oscs1024.com/hd/MPS-2023-11000
3.WebLogic LinkRef 反序列化远程代码执行漏洞(CVE-2023-21931)
Oracle WebLogic Server 是一款Java EE应用服务器。
受影响版本的WebLogic中WLNamingManager#getObjectInstance()存在JNDI查找逻辑,导致攻击者可以通过IIOP协议传入特定的对象触发反序列化逻辑,执行任意代码。
当传入boundObject 对象是 LinkRef 的实现类时,会调用传入对象 boundObject 的 getLinkName() 方法,并使用 lookup() 方法对getLinkName() 方法返回的 linkAddrType 地址执行远程 JNDI 加载。
参考链接:https://www.oscs1024.com/hd/MPS-2022-68516
4.MySQL Server 拒绝服务漏洞(CVE-2023-21912)
MySQL是Oracle开源的关系型数据库管理系统。
MySQL Server 受影响版本存在拒绝服务漏洞,攻击者者无需身份验证可发送连接数据包导致MySQL Server 崩溃拒绝服务。官方未公布相关细节,可能由于对客户端设置字符集的处理不当,当客户端字符集设置为ucs2、utf16、utf16le等进行连接时导致异常。
参考链接:https://www.oscs1024.com/hd/MPS-2022-68497
5.Strapi <4.5.6 远程代码执行漏洞(CVE-2023-22621)
Strapi是Node.js开发的开源内容管理系统,Users-Permission 插件的电子邮件模板系统用于管理与用户权限相关的电子邮件通知(默认启用)。
Strapi 4.5.6之前版本中,Users-Permission 插件的电子邮件模板系统存在 SSTI(服务器端模板注入)漏洞,有权访问 Strapi 管理面板的攻击者可在电子邮件模板分隔符(例如 <%STUFF HERE%>)中插入恶意 JavaScript 代码,当 API 账户注册时,系统会加载电子邮件模板发送电子邮件,同时将执行攻击者可控的恶意代码。
此漏洞与 CVE-2023-22894 结合使用可通过劫持管理员帐户,在所有 Strapi <4.5.6 服务器上实现未经身份验证的远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-2023-0231
6.Spring Boot在Cloud Foundry中部署存在路由限制绕过风险(CVE-2023-20873)
Spring Boot是用于构建Java应用程序的框架,Cloud Foundry是用于部署和管理应用程序的云平台,/cloudfoundryapplication也会路由至Spring Boot actuator。
当 Spring Boot 的受影响版本部署在 Cloud Foundry 上且具有处理 /cloudfoundryapplication/** 请求的代码时(如/** ),则可能绕过路由限制访问到actuator,造成敏感信息泄漏。
使用 Spring Cloud Config的应用程序默认可以处理 /cloudfoundryapplication/** 的请求,部署在Cloud Foundry中则存在漏洞。
用户可通过将management.cloudfoundry.enabled设置为false彻底禁止/cloudfoundryapplication输出。
参考链接:https://www.oscs1024.com/hd/MPS-2022-62845
7.泛微 e-cology <10.57 存在 SQL注入漏洞(MPS-ndqt-0im5)
泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。
泛微 e-cology 受影响版本存在SQL注入漏洞,未经授权的远程攻击者可通过发送特殊的HTTP请求来获取数据库的敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-ndqt-0im5
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。
本周新发现 176 个不同版本的恶意组件:
74% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。
16% 的投毒组件为:执行恶意系统命令(恶意用户可利用反弹的shell在受害主机上执行任意系统命令)。
GitHub 现在允许大规模启用私有漏洞报告
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
添加 Obal 欧宝加入交流群
