OSCS开源安全周报第 76 期：Dataease jdbc 反序列化漏洞- 大数跨境

首页

OSCS开源安全周报第 76 期：Dataease jdbc 反序列化漏洞

OSCS

2024-03-04

导读：OSCS 社区共收录安全漏洞 7 个，针对 NPM 仓库，共监测到 56 个不同版本的投毒组件

本周安全态势综述

OSCS 社区共收录安全漏洞 7 个，公开漏洞值得关注的是 Dataease jdbc 反序列化漏洞(CVE-2024-23328)、Apache OFBiz <18.12.12 路径遍历漏洞(CVE-2024-25065)、Apache Ambari < 2.7.8 XXE注入漏洞(CVE-2023-50380)、LangChain langchain-experimental 任意代码执行(CVE-2024-27444)、Apache James Server JMX端点暴露反序列化漏洞(CVE-2023-51518)。

针对 NPM/PyPI 仓库共监测到 56 个不同版本的投毒组件。

重要安全漏洞列表

1、Dataease jdbc 反序列化漏洞(CVE-2024-23328)

Dataease是一款开源的数据可视化分析工具。

受影响版本中，由于未对用户输入的数据库连接参数做有效过滤，具有 Dataease 登陆权限的攻击者可通过使用URL编码 jdbc url 中的 autoDeserialize、allowUrlInLocalInfile参数绕过 jdbcUrl 检测，进而读取 MySQL 客户端任意文件或反序列化恶意代码。

参考链接：https://www.oscs1024.com/hd/MPS-j54s-zgbo

2、Apache OFBiz <18.12.12 路径遍历漏洞(CVE-2024-25065)

Apache OFBiz 是一个开源的企业资源计划系统。

Apache OFBiz 中由于未充分验证用户输入的 contextPath 而导致存在路径遍历漏洞，未授权的攻击者可以通过构造恶意请求绕过认证，进而访问系统中的资源。修复代码通过将contextPath转换为一个URI对象，并调用.normalize()方法来规范化路径，从而防止路径遍历。

参考链接：https://www.oscs1024.com/hd/MPS-rfy8-vc9m

3、Apache Ambari < 2.7.8 XXE注入漏洞(CVE-2023-50380)

Apache Ambari 是一个用于配置、管理和监控 Apache Hadoop 集群的工具。

Apache Ambari <2.7.8中存在XXE注入漏洞，由于DocumentBuilderFactory实例在解析XML文档时未正确配置以禁用外部实体，未验证用户输入。低权限攻击者可以通过提交恶意XML文档来读取服务器上的任意文件以及提升权限等操作。

参考链接：https://www.oscs1024.com/hd/MPS-2950-d3zu

4、LangChain langchain-experimental 任意代码执行(CVE-2024-27444)

LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问，这些属性包括__import__、__subclasses__、__builtins__、__globals__、__getattribute__、__bases__、__mro__、__base__。攻击者可以通过这些属性绕过CVE-2023-44467的修复措施执行任意代码。

参考链接：https://www.oscs1024.com/hd/MPS-1t8v-pu7m

5、Apache James Server JMX端点暴露反序列化漏洞(CVE-2023-51518)