OSCS开源安全周报第26期:Apache Shiro <1.11.0 存在身份验证绕过漏洞

本周OSCS 社区共收录安全漏洞 17 个,针对 NPM 、PyPI仓库,共监测到 22 个不同版本的 投毒组件。……

OSCS
OSCS   Follow

# 本周安全态势综述

OSCS 社区共收录安全漏洞 17 个,公开漏洞值得关注的是 Apache Shiro <1.11.0 存在身份验证绕过漏洞,JsonWebToken远程代码执行漏洞,GitHub Enterprise Server 存在授权不当漏洞,Mercurius <11.5.0 存在拒绝服务漏洞,GitLab CE/EE 存在任意代码执行漏洞,GitLab 存在 Sentry token 泄漏漏洞。

针对 NPM 、PyPI 仓库,共监测到 22 个不同版本的 NPM 、PyPI 投毒组件。

# 重要安全漏洞列表

  1. Apache Shiro <1.11.0 存在身份验证绕过漏洞(CVE-2023-22602)

    Apache Shiro 是一个可执行身份验证、授权、加密和会话管理的 Java 安全框架。 由于 1.11.0 及之前版本的 Shiro 只兼容 Spring 的ant-style路径匹配模式(pattern matching),且 2.6 及之后版本的 Spring Boot 将 Spring MVC 处理请求的路径匹配模式从AntPathMatcher更改为了PathPatternParser,当 1.11.0 及之前版本的 Apache Shiro 和 2.6 及之后版本的 Spring Boot 使用不同的路径匹配模式时,攻击者访问可绕过 Shiro 的身份验证。 开发者可通过修改 Spring boot 的路径匹配模式为 AntPathMatcher 缓解此漏洞: spring.mvc.pathmatch.matching-strategy = ant_path_matcher

    参考链接:https://www.oscs1024.com/hd/MPS-2023-0169

  2. JsonWebToken远程代码执行漏洞(CVE-2022-23529)

    JsonWebToken 是一个用于创建、签名和验证 JSON Web Token开源库。node-jsonwebtoken是node.js 下 JsonWebToken 的实现。

    在JsonWebToken <= 8.5.1版本中由于jwt.verify()方法未对用户输入的secretOrPublicKey参数进行有效的检查。如果攻击者能够控制secretOrPublicKey参数,则可以通过恶意内容覆盖它的 toString() 方法并在目标主机执行任意代码。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-1956

  3. GitHub Enterprise Server 存在授权不当漏洞(CVE-2022-46258)

    GitHub Enterprise Server 是一个面向开源及私有软件项目的托管平台,GitHub scope 用于限制 OAuth token 的访问范围。

    在 GitHub Enterprise Server 中,除非提交位于同一存储库的不同分支中且和 Workflow files 内容相同的 Workflow 文件 ,否则只有具有 Workflow scope 的用户才可以对 Actions workflow 文件进行添加或修改。

    在 GitHub Enterprise Server 的受影响版本中,由于修改 Actions workflow 文件的 api 接口没有验证用户请求中的 workflow scope,具有存储库读写访问权限(repository-scoped)的攻击者可在没有 Workflow scope 的情况下修改 Action Workflow 文件。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-65651

  4. Mercurius <11.5.0 存在拒绝服务漏洞(CVE-2023-22477)

    Mercurius 是NPM仓库中的开源组件,用作于 Fastify Web 框架的 GraphQL 适配器。

    11.5.0 之前版本的 Mercurius 开启“订阅”功能时,任何 Mercurius 用户都可以通过 WebSocket 向 /graphql 端点(如:ws://127.0.0.1:1337/graphql)发送格式错误的数据包,从而造成 Mercurius 拒绝服务。

    Mercurius 用户可禁用订阅功能缓解此漏洞。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-70041

  5. GitLab CE/EE 存在任意代码执行漏洞(CVE-2022-3573)

    GitLabs 是基于Git的集成的软件开发平台。

    在 GitLab CE/EE 的受影响的版本内,由于wiki 更改页面中没有对查询参数的进行严格的过滤,攻击者可以在没有使用严格的内容安全策略(CSP)的情况下运行的自托管的实例上执行任意 JavaScript 代码。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-60383

  6. GitLab 存在 Sentry token 泄漏漏洞

    GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台,Sentry 是用于发现和查看 Gitlab 应用程序生成错误的第三方组件。

    GitLab CE/EE 的受影响版本中 Sentry 令牌(token)泄漏漏洞,具有 Gitlab 项目维护者(Maintainer)身份的用户可通过 “Menu > Projects > Monitor > Error Tracking” 在 Sentry 错误跟踪设置页面中修改配置的 URL 获取 Sentry 令牌。

    参考链接:https://www.oscs1024.com/hd/MPS-2022-67230

# 投毒风险监测

OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。

本周新发现 22个不同版本的恶意组件:

  • 91%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)。

  • 9%的投毒组件为:删除破解项目代码(获取项目信息,当发现该项目为破解项目时,会删除项目以及代码)。

# 其他资讯

Cacti 服务器因未能修补多数关键漏洞而受到攻击

https://thehackernews.com/2023/01/cacti-servers-under-attack-as-majority.html