Apache Commons JXPath 任意代码执行漏洞(CVE-2022-41852)
Apache Commons JXPath 是一个 XPath 表达式语言的简单解释器。近期有安全研究者通过 oss-fuzz 发现 JXPath 存在任意代码执行漏洞(CVE-2022-41852),建议开发人员留意自己是否在使用该组件。
Onedev v7.4.14 路径遍历漏洞分析(CVE-2022-38301)
OneDev 是开源的一体化轻量DevOps平台,在OneDev 7.4.14及以前版本中存在路径遍历漏洞,具有项目管理权限的攻击者可以将恶意 jar 文件上传到 lib 目录,覆盖原有jar包,攻击者可利用此漏洞在服务器中写入任意文件或远程执行恶意代码。
案例分析:NPM中恶意包利用环境变量差异绕过检测
2022年7月14日,OSCS 监测发现NPM仓库中上传了 branch-node-core、epic-ue-loading 两个恶意组件包,出自相同的模板,通过多种方式绕过静态、动态检测机制。
