OSCS 社区共收录安全漏洞7个,公开漏洞值得关注的是 phpipam 存在 SQL 注入漏洞(CVE-2023-1211)、Microsoft Word 存在任意代码执行漏洞(CVE-2023-21716)、Apache HTTP Server <2.4.56 mod_proxy 模块存在请求走私漏洞(CVE-2023-25690)、Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)、Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)、Gitlab DAST扫描时header泄漏漏洞(CVE-2022-4315)、Jenkins plugin manager 存在存储型XSS漏洞(CVE-2023-27898)。
针对 NPM 、PyPI 仓库,共监测到 47 个不同版本的 NPM 、PyPI 投毒组件。
1.phpipam 存在 SQL 注入漏洞(CVE-2023-1211)
phpipam 是一款IP地址管理程序 phpipam 受影响版本 class.Admin.php 中的 update_custom_field_definition 方法对于 field 参数的过滤不严格,具有登录权限的攻击者通过控制field 参数获取隐私数据,恶意操作数据库,甚至接管数据库所在服务器。规则仅对collection endpoints的第一项执行,并在下一个项中重用本次安全校验结果。这可能会将通过 ApiPlatform\Metadata\ApiProperty 属性的 security 选项保护的资源暴露给未经授权的用户。
参考链接:https://www.oscs1024.com/hd/MPS-2023-7275
2.Microsoft Word 存在任意代码执行漏洞(CVE-2023-21716)
Microsoft Word 是一款文字处理软件。
Microsoft Word 中的 RTF 解析器存在任意代码执行漏洞。该漏洞是由于RTF 解析器处理的字体表(*\fonttbl *) 包含过多字体(*\f###*) 时会造成堆损坏。远程攻击者可通过电子邮件(或其他方式)发送恶意的RTF文件并以打开恶意RTF文件者的权限执行任意代码。(若使用Outlook预览该文件也可触发此漏洞)
参考链接:https://www.oscs1024.com/hd/MPS-2022-67946
3.Apache HTTP Server <2.4.56 mod_proxy 模块存在请求走私漏洞(CVE-2023-25690)
Apache HTTP Server是一款Web服务器。
该项目受影响版本存在请求走私漏洞。由于intro.xml中存在RewriteRule配置不当,当Apache启用mod_proxy且配置如 RewriteRule "^/here/(.*)" " http://example.com:8080/elsewhere?$1"; http://example.com:8080/elsewhere ; [P] ProxyPassReverse /here/ http://example.com:8080/ http://example.com:8080/ 等通过非特定模式匹配用户提供的URL时,远程攻击者可利用RewriteRule 或proxypassmatch修改URL实现请求走私,进而绕过代理服务器的访问控制。
参考链接:https://www.oscs1024.com/hd/MPS-2023-4480
4.Apache HTTP Server <2.4.56 mod_proxy_uwsgi 模块存在请求走私漏洞(CVE-2023-27522)
Apache HTTP Server 是一个Web服务器软件。
该项目受影响版本存在请求走私漏洞。由于mod_proxy_uwsgi.c 中uwsgi_response方法对于源响应头缺少检查,当apache启用mod_proxy_uwsgi后,攻击者可利用过长的源响应头等迫使应转发到客户端的响应被截断或拆分,进而可能造成会话劫持等危害
参考链接:https://www.oscs1024.com/hd/MPS-2023-6814
5.Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。
在受影响版本中,由于泛化调用(generic invoke)中对反序列化机制实现的安全校验不严格,攻击者可能利用该漏洞攻击服务端(provider),远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2023-6814
6.Gitlab DAST扫描时header泄漏漏洞(CVE-2022-4315)
GitLab DAST 是一款动态应用程序安全测试工具。
该项目受影响版本存在信息泄露漏洞,当使用DAST 扫描身份验证类型页面时会对页面中的每个URL发起一个http请求同时携带DAST 自定义的header信息,这可能将token等信息发送到其他域,进而造成敏感信息泄露。
参考链接:https://www.oscs1024.com/hd/MPS-2022-66983
7.Jenkins plugin manager 存在存储型XSS漏洞(CVE-2023-27898)
Jenkins是一款Java编写的集成工具。
该项目受影响版本存在存储型XSS漏洞。该漏洞是由于在呈现插件版本与Jenkins plugin manager版本不兼容的错误信息时没有进行转义。
攻击者可向Jenkins实例中配置的更新站点提供插件,当Jenkins实例加载插件时,错误信息处的JavaScript代码便会被浏览器执行。
参考链接:https://www.oscs1024.com/hd/MPS-2023-7327
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。
本周新发现 47 个不同版本的恶意组件:
100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。
应对实现零信任的挑战
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=wx
添加 Obal 欧宝加入交流群
