乐趣区

关于安全漏洞:OSCS开源安全周报第23期Foxit-PDF-ReaderEditor-任意代码执行漏洞

本周平安态势综述

OSCS 社区共收录安全漏洞 10 个,其中公开破绽值得关注的是

  • Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入破绽(CVE-2022-46421)
  • vm2 < 3.9.10 存在任意代码执行破绽(CVE-2022-25893)
  • Foxit PDF Reader/Editor 任意代码执行破绽(CVE-2022-28672)
  • Splunk Enterprise 存在任意代码执行破绽(CVE-2022-43571)
  • Apache Karaf 存在近程代码执行破绽(CVE-2022-40145)
  • Apache ShardingSphere-Proxy <5.3.0 存在身份认证绕过破绽(CVE-2022-45347)
  • Ghost CMS 存在访问控制不当破绽(CVE-2022-41654)
  • Linux Kernel ksmbd 模块存在任意代码执行破绽(CVE-2022-47939)

针对 NPM、PyPI 仓库,共监测到 25 个不同版本的 NPM、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;在多个不同名称的 PyPI 包中发现 W4SP 窃取器。

重要安全漏洞列表

1、Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入破绽(CVE-2022-46421)

Apache Airflow 是一个用于以编程形式创作、安顿和监控工作流平台。Apache Airflow Hive Provider 是一个应用 SQL 读取、写入和治理分布式存储中的大型数据集的工具包。Apache Airflow Hive Provider 在 5.0.0 之前的版本中因为对 airflow/providers/apache/hive/hooks/hive.py 文件中 hive_cli_params 参数不正确初始化,导致存在操作系统命令注入破绽。未经身份验证的近程攻击者能够将特制数据(run_cli 函数的 hive_conf 参数可控)传递给应用程序,并在指标零碎上执行任意操作系统命令。

参考链接:https://www.oscs1024.com/hd/M…

2、vm2 < 3.9.10 存在任意代码执行破绽(CVE-2022-25893)

vm2 是一个基于 Node.js 的沙箱环境,能够应用列入白名单的 Node 内置模块运行不受信赖的代码。vm2 3.9.10 之前版本中因为 WeakMap.prototype.set 办法应用原型查找从而存在任意代码执行破绽,攻击者可利用此破绽在沙箱内执行任意恶意代码,导致沙箱解体或获取主机对象信息。

参考链接:https://www.oscs1024.com/hd/M…

3、Foxit PDF Reader/Editor 任意代码执行破绽(CVE-2022-28672)

Foxit PDF Reader 是中国福昕(Foxit)公司的一款 PDF 阅读器。Foxit PDF Reader/Editor 受影响版本中在对 javascript 对象执行操作之前未验证对象是否存在,造成内存援用处理不当,导致存在开释后重用破绽。攻击者能够利用此破绽在以后过程的上下文中执行任意代码。用户须要关上歹意文件(须要用户交互)。

参考链接:https://www.oscs1024.com/hd/M…

4、Splunk Enterprise 存在任意代码执行破绽(CVE-2022-43571)

Splunk 是一款机器数据的引擎,可用于收集、索引和利用所有应用程序、服务器和设施生成的疾速挪动型计算机数据。Splunk 受影响版本存在任意代码执行破绽,通过身份验证的攻击者可利用此破绽通过创立蕴含恶意代码的 SimpleXML 仪表板(dashboard),进而在操作仪表板生成 PDF 时近程执行恶意代码。

参考链接:https://www.oscs1024.com/hd/M…

5、Apache Karaf 存在近程代码执行破绽(CVE-2022-40145) Apache Karaf 是一个用于部署业务代码或应用程序的 modulith 运行时环境。Apache Karaf 的受影响版本中因为 jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 办法没有对 jndiName 无效过滤从而存在近程代码执行破绽。当攻击者对 Karaf JDBC 数据源可控时,攻击者可通过将 JDBCUtils.DATASOURCE 配置为歹意的 LDAP/RMI 服务器(如 jndi:rmi://x.x.x.x:xxxx/Command)近程执行恶意代码。

参考链接:https://www.oscs1024.com/hd/M…

6、Apache ShardingSphere-Proxy <5.3.0 存在身份认证绕过破绽(CVE-2022-45347)

Apache ShardingSphere 是一款分布式的数据库生态系统,ShardingSphere-Proxy 是反对 MySQL、PostgreSQL 和 openGauss 协定的数据库代理模块。ShardingSphere-Proxy 5.3.0 之前的版本中在应用 MySQL 作为后端数据库时,在客户端认证失败后没有齐全清理数据库会话信息,攻击者通过结构一个疏忽身份验证失败音讯的 MySQL 客户端则可利用会话执行 SQL 语句。

参考链接:https://www.oscs1024.com/hd/M…

7、Ghost CMS 存在访问控制不当破绽(CVE-2022-41654)

Ghost 是一个带有用于构建网站、公布内容和发送时事通信工具的内容管理系统。受影响版本的 Ghost 的时事通信订阅性能中存在身份验证绕过破绽,起因是 Ghost 的 Membership 的订阅拜访级别为 public(默认)时,成员 (非特权用户) 能够对通信设置进行更改,这使得非特权用户可能查看和更改他们无心拜访的设置。攻击者可通过向 /members/api/member/ API 端点发送歹意申请,齐全拜访创立和批改新闻通讯,包含所有成员默认订阅的零碎范畴默认新闻通讯。用户可通过 Settings → Membership 中将订阅拜访级别更改为 Nobody 缓解此破绽。

参考链接:https://www.oscs1024.com/hd/M…

8、Linux Kernel ksmbd 模块存在任意代码执行破绽(CVE-2022-47939)

ksmbd 是 Linux 内核从 5.15 版本开始集成的模块,次要性能为在内核空间中实现 SMB3 协定。因为在对对象执操作之前没有验证对象是否存在,导致解决 SMB2_TREE_DISCONNECT 办法时存在开释后重用破绽,未经身份验证的攻击者能够利用破绽此近程执行任意代码。(只有启用了 ksmbd 模块的 Linux 内核容易受到攻打)如果存在且启用了 ksmbd 模块,缓解措施为禁用 ksmbd 模块。

参考链接:https://www.oscs1024.com/hd/M…

* 查看破绽详情页,反对收费检测我的项目中应用了哪些有缺点的第三方组件

投毒危险监测

OSCS 针对 NPM、PyPI 仓库监测的歹意组件数量如下所示。

本周新发现 25 个不同版本的歹意组件:

  • 100% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给歹意服务器)。

其余资讯

在多个不同名称的 PyPI 包中发现 W4SP 窃取器。

https://thehackernews.com/2022/12/w4sp-stealer-discovered-in-multiple.html

情报订阅

OSCS(开源软件供应链平安社区)通过最快、最全的形式,公布开源我的项目最新的平安危险动静,包含开源组件安全漏洞、事件等信息。同时提供破绽、投毒情报的收费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时取得一手情报信息推送:

https://www.oscs1024.com/cm/?src=sf

具体订阅形式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf

退出移动版