关于java:OSCS开源安全周报第11期本月微软补丁日修复-vscode-漏洞请开发者留意自己使用的-vscode-是否受该漏洞影响

33次阅读

共计 1419 个字符,预计需要花费 4 分钟才能阅读完成。

本周平安态势综述

OSCS 社区共收录安全漏洞 27 个,公开破绽值得关注的是 golang net/url 门路穿梭破绽(CVE-2022-32190),Visual Studio Code <1.71.1 权限晋升破绽(CVE-2022-38020),gophish/gophish < 0.12.0 存在关上重定向破绽(CVE-2022-25295)。

针对 NPM、PyPI 仓库,共监测到 4 次投毒事件,波及 92 个不同版本的 NPM、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

  1. golang net/url 门路穿梭破绽(CVE-2022-32190)

golang 的组件 net/url 实现了 URL 的解析解决和查问本义。

golang net/ur 存在门路穿梭破绽,破绽源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素,攻击者可能利用该破绽拜访零碎敏感文件。

参考链接:https://www.oscs1024.com/hd/MPS-2022-17132

  1. Visual Studio Code <1.71.1 权限晋升破绽(CVE-2022-38020)

Visual Studio Code 是一款代码编辑器。

Visual Studio Code v1.71.0 及更早版本中存在权限晋升破绽,破绽源于 Visual Studio Code 加载配置文件时会主动加载 windows 共享用户在非凡目录创立的文件 bash.exe。

在 Windows 上,低特权攻击者能够在非凡门路创立并笼罩 bash.exe。Visual Studio Code 检测到的配置文件会显示在终端配置文件列表中,可能导致歹意文件执行。

参考链接:https://www.oscs1024.com/hd/MPS-2022-53948

  1. gophish/gophish < 0.12.0 存在关上重定向破绽(CVE-2022-25295)

Gophish 是一个为企业和浸透测试人员设计的开源网络钓鱼工具包。

此软件包的受影响版本容易受到 Open Redirect 的攻打。next 查问参数中存在 Open Redirect 破绽。应用程序用于 url.Parse(r.FormValue(“next”)) 提取门路并最终将用户重定向到绝对 URL。

攻击者可能会胜利发动网络钓鱼欺骗并窃取用户凭据。

参考链接:https://www.oscs1024.com/hd/MPS-2022-4362

* 查看破绽详情页,反对收费检测我的项目中应用了哪些有缺点的第三方组件

投毒危险监测

OSCS 针对 NPM、PyPI 仓库监测的歹意组件数量如下所示。

本周新发现 92 个不同版本的歹意组件,其中

  • 100% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给歹意服务器)

其余资讯

黑客入侵 Magento 供应链攻打的软件供应商

https://www.bleepingcomputer….

    

情报订阅

OSCS(开源软件供应链平安社区) 通过最快、最全的形式,公布开源我的项目最新的平安危险动静,包含开源组件安全漏洞、事件等信息。同时提供破绽、投毒情报的收费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时取得一手情报信息推送:

https://www.oscs1024.com/?src=sf

具体订阅形式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf

正文完
 0