大数跨境
首页
>
OSCS开源安全周报第 35 期:sqlite3 存在远程代码执行漏洞(CVE-2022-43441)
>

OSCS开源安全周报第 35 期:sqlite3 存在远程代码执行漏洞(CVE-2022-43441)

OSCS开源安全周报第 35 期:sqlite3 存在远程代码执行漏洞(CVE-2022-43441) OSCS
2023-03-20
1
导读:本周OSCS 社区共收录安全漏洞 8 个,针对 NPM 、PyPI仓库,共监测到 139 个不同版本的 投毒组件



本周安全态势综述


OSCS 社区共收录安全漏洞8个,公开漏洞值得关注的是 JumpServer 存在命令注入漏洞(CVE-2023-28110)、Apache Airflow <2.5.2 敏感信息泄漏漏洞(CVE-2023-25695)、Microsoft RPC Runtime 远程代码执行漏洞(CVE-2023-24869)、Nacos 存在JWT密钥硬编码漏洞(MPS-2023-7982)、Docker Desktop 存在信任边界越界漏洞(CVE-2023-0629)、sqlite3 存在远程代码执行漏洞(CVE-2022-43441)。

针对 NPM 、PyPI 仓库,共监测到 139 个不同版本的 NPM 、PyPI 投毒组件。




重要安全漏洞列表


1.JumpServer 存在命令注入漏洞(CVE-2023-28110

JumpServer 是一款开源的堡垒机。

该项目受影响版本存在命令注入漏洞,由于jumpserver的Koko组件对Kubernetes token检查时未过滤进行命令拼接,具备登录权限的远程攻击者可构造恶意的Kubernetes token进行命令注入,当使用Koko连接Kubernetes集群时可造成恶意命令执行(发生于Koko所处容器)

参考链接:https://www.oscs1024.com/hd/MPS-2023-7655


2.Apache Airflow <2.5.2 敏感信息泄漏漏洞(CVE-2023-25695

Apache Airflow 是一个以编程方式管理 workflow 的平台。

Apache Airflow 2.5.2 之前版本中由于 show_traceback 方法向用户显示回溯信息时未对用户进行身份验证,当 Web 服务器出现报错时,未经身份的攻击者可通过 UI 界面获取回溯中包含的敏感信息如:Python/Airflow 版本和节点名称。

参考链接:https://www.oscs1024.com/hd/MPS-2023-4527


3.Microsoft RPC Runtime 远程代码执行漏洞(CVE-2023-24869

RPC(Remote Procedure Call Protocol)远程过程调用协议。

Microsoft RPC Runtime 存在远程代码执行漏洞。未经身份验证的攻击者向RPC主机发送恶意的RPC调用,导致在服务器端执行远程代码,权限与RPC服务相同。

参考链接:https://www.oscs1024.com/hd/MPS-2023-3407


4.Nacos 存在JWT密钥硬编码漏洞(MPS-2023-7982

Nacos 是一个动态服务发现、配置和管理的平台,可用于构建云原生应用程序。

该项目受影响版本存在硬编码漏洞。由于Nacos鉴权时采用默认的token.secret.key,远程攻击者可自行构造JwtToken绕过密钥认证进入后台,进而操控系统。

参考链接:https://www.oscs1024.com/hd/MPS-2023-7982


5.Docker Desktop 存在信任边界越界漏洞(CVE-2023-0629

Docker Desktop是美国Docker公司的一个基于容器技术的用于轻量化部署应用的桌面软件

该项目受影响版本中存在信任边界越界漏洞。非特权用户可设置Docker host 为docker.raw.sock或npipe:////.pipe/docker_engine_linux(Windows),并通过- H (--host) 或docker_host环境变量绕过增强式容器隔离(ECI)限制启动容器。已运行的容器以及通过常规方法(不使用docker.raw.sock)启动的容器不受影响。仅Docker Business的ECI功能受影响。

参考链接:https://www.oscs1024.com/hd/MPS-2023-3586


6.sqlite3 存在远程代码执行漏洞(CVE-2022-43441

SQLite3 是一款关系型数据库管理系统

该项目受影响版本存在远程代码执行漏洞。由于SQLite3在调用statement.cc中的ToString() 方法时底层实际调用了napi_coerce_to_string 方法。攻击者可通过控制source参数利用ToString()方法构造对象,进而实现任意JS代码执行或拒绝服务

参考链接:https://www.oscs1024.com/hd/MPS-2022-60607


*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件





投毒风险监测


OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。


本周新发现 139 个不同版本的恶意组件:


  • 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。





其他资讯


Microsoft Outlook 漏洞可能是 2023 年的“IT”漏洞

https://www.darkreading.com/application-security/microsoft-outlook-vulnerability-2023-it-bug





情报订阅


OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送

https://www.oscs1024.com/cm


具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx









添加 Obal 欧宝加入交流群


点击原文 订阅 OSCS 安全情报

【声明】内容源于网络
0
0
OSCS
携手全球开发者,共建开源生态安全
内容 101
粉丝 0
OSCS 携手全球开发者,共建开源生态安全
总阅读27
粉丝0
内容101