# 本周安全态势综述
OSCS 社区共收录安全漏洞 8 个,公开漏洞值得关注的是 Wordpress 中 Build App Online 插件存在 SQL 注入漏洞(CVE-2022-3241),Apache Tomcat 存在 JsonErrorReportValve 注入漏洞(CVE-2022-45143),禅道研发项目管理系统命令注入漏洞(MPS-2023-0418),Apache James MIME4J 敏感信息泄露漏洞( CVE-2022-45787)。
针对 NPM 、PyPI 仓库,共监测到 22 个不同版本的 NPM 、PyPI 投毒组件。
# 重要安全漏洞列表
1、Wordpress中Build App Online插件存在SQl注入漏洞(CVE-2022-3241)
Wordpress 中Build App Online插件主要功能是为woocommerce创建和运行移动应用程序。
WordPress插件Build App Online在1.0.19之前版本中未经身份验证的用户在进行AJAX操作时由于在SQL语句中使用指定参数(vendor、reviews_vendor、orderby等)未对其进行清理和转义,从而导致SQL注入漏洞。攻击者可利用此漏洞获取插件所在服务器的数据库敏感信息,甚至getshell。
参考链接:https://www.oscs1024.com/hd/MPS-2022-57489 (opens new window)
2、Apache Tomcat 存在 JsonErrorReportValve 注入漏洞(CVE-2022-45143)
Tomcat 是由 Apache 软件基金会下属的 Jakarta 项目开发的一个 Servlet 容器,实现了对 Servlet 和 JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如 Tomcat 管理和控制平台、安全域管理和 Tomcat Valve等。
Tomcat 受影响版本中的 JsonErrorReportValve 类由于未对用户可控的类型(type)、消息(message)或描述(description)值进行转义,在 Tomcat 处理用户请求时,如果调用序列中的 Valve 时响应状态码大于或等于400,或者引发了未捕获的异常,则会将攻击者请求数据输出到 tomcat 打印的错误报告中。攻击者可利用此漏洞将恶意数据注入到 tomcat 的输出报告中,或导致输出报告中的 json 输出无效。
参考链接:https://www.oscs1024.com/hd/MPS-2022-64112 (opens new window)
3、禅道研发项目管理系统命令注入漏洞(MPS-2023-0418)
禅道是一款国产开源项目管理软件。
禅道研发项目管理系统存在系统命令注入漏洞,具有后台登陆权限的攻击者可以利用此漏洞执行任意命令,进而控制服务器。
参考链接:https://www.oscs1024.com/hd/MPS-2023-0418 (opens new window)
4、Apache James MIME4J 敏感信息泄露漏洞( CVE-2022-45787)
Apache James MIME4J 是一个用于解析纯RFC822和MIME格式的电子邮件消息流并构建电子邮件信息树表示的项目。
Apache James MIME4J 受影响版本中的 TempFileStorageProvider 类生成的临时文件由于读取权限设置不当,能够被系统本地用户读取,导致邮件相关敏感数据被泄露。
参考链接:https://www.oscs1024.com/hd/MPS-2022-65097 (opens new window)
# 投毒风险监测
OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。
本周新发现 22 个不同版本的恶意组件:
100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。
# 其他资讯
1、npm 包 chalk-next 被开发者投毒,源码 SRC 目录被删除。
https://mp.weixin.qq.com/s/I7NVj7KKqUyQF9EWZKBKoQ (opens new window)