OSCS 社区共收录安全漏洞20个,公开漏洞值得关注的是 Dolibarr 存在 sql 注入漏洞(CVE-2022-4093),Apache Airflow Pinot Provider 存在命令注入漏洞(CVE-2022-38649),Apache Airlfow Pig Provider <4.0.0 存在远程代码执行漏洞(CVE-2022-40189),Apache DolphinScheduler <2.0.6 存在命令执行漏洞(CVE-2022-45462)。
针对 NPM 、PyPI仓库,共监测到 35 个不同版本的 NPM 、PyPI投毒组件,投毒组件都在尝试获取主机敏感信息。
1、Dolibarr 存在 sql 注入漏洞(CVE-2022-4093)
Dolibarr 是一个面向企业的开源的 ERP 和 CRM 。
Dolibarr 在 16.0.1 和 16.0.2 版本中存在 sql 注入漏洞,原因是 website.lib.php 中没有对 sql 语句进行有效转义,攻击者可利用此漏洞通过发送 “/search.php?s=payload” 的 get 请求进行 sql 注入,从而获取 Dolibarr 系统数据库中的敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2022-64765
2、Apache Airflow Pinot Provider 存在命令注入漏洞(CVE-2022-38649)
Apache Airflow 是一个用于以编程方式创作、安排和监控工作流的平台。Apache Airflow Pinot Provider 是一个用于与 Apache Airflow hook 建立连接并执行封装的 pinot-admin.sh 脚本的工具包。
在 4.0.0 之前的版本中的 PinotAdminHook 类由于对 cmd_path 参数(pinot-admin.sh 可执行文件的文件路径)限制不当导致存在系统命令注入漏洞。攻击者无需具有 DAG 文件的写权限,在初始化 hook 时可通过传入恶意 cmd_path 参数执行任意系统命令。补丁版本通过对 pinot-admin.sh 文件硬编码修复此漏洞。
参考链接:https://www.oscs1024.com/hd/MPS-2022-55891
3、Apache Airlfow Pig Provider <4.0.0 存在远程代码执行漏洞(CVE-2022-40189)
Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airlfow Pig Provider 是 Airflow 的一个分析大型数据集的工具包。
在 4.0.0 之前的版本中 PigCliHook/PigOperator 类由于没有对 pig_properties 参数进行有效过滤从而存在远程代码执行漏洞,攻击者无需 DAG 文件的写入权限,可通过在 PigCliHook/PigOperator 的连接中附加恶意 pig_properties 参数远程执行恶意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2022-65083
4、Apache DolphinScheduler <2.0.6 存在命令执行漏洞(CVE-2022-45462)
Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。Alarm instance management 是 DolphinScheduler 用于管理报警实例的模块。
Apache DolphinScheduler 在 2.0.6 之前的版本中由于 DependentExecute.java 类中的 getDependTaskResult 方法没有对 taskCode 参数进行有效验证,导致 Alarm instance management 模块存在命令执行漏洞。攻击者可利用此漏洞在 Alarm instance management 模块中配置包含恶意命令的报警实例(Alarm instance),在 DolphinScheduler 触发该实例时执行攻击者可控的恶意命令。
参考链接:https://www.oscs1024.com/hd/MPS-2022-64676
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。
本周新发现 35 个不同版本的恶意组件:
89%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
11%的投毒组件为:下载木马程序到本地(远程执行主机系统命令)
Docker Hub 存储库暗藏 1650+ 恶意镜像
https://www.bleepingcomputer.com/news/security/docker-hub-repositories-hide-over-1-650-malicious-containers/
微软分析报告指出存在漏洞的 Boa Web 服务器导致 IOT 和 OT 环境中的供应链安全风险
https://www.microsoft.com/en-us/security/blog/2022/11/22/vulnerable-sdk-components-lead-to-supply-chain-risks-in-iot-and-ot-environments/
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/?src=wx
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
添加 Obal 欧宝加入交流群
