Resumen de seguridad de esta semana
La comunidad OSCS ha recopilado vulnerabilidades de seguridad de 11. Las vulnerabilidades públicas que merecen atención son la vulnerabilidad de ejecución remota de código JeecgBoot, la vulnerabilidad de acceso no autorizado a la API de fondo de privatización de WeChat empresarial, la vulnerabilidad de ejecución de código de WPS Office (MPS-3pcb-l4mv) y Microsoft Vulnerabilidad de ejecución remota de código de Exchange Server Vulnerabilidad de ejecución de código (CVE-2023-38182), configuración no autorizada de Smartbi de la dirección de devolución de llamada del token para obtener privilegios de administrador (MPS-exyg-uhi8).
Para los almacenes NPM y PyPI, se detectaron un total de 115 versiones diferentes de componentes venenosos.
Lista de vulnerabilidades críticas de seguridad
1. Vulnerabilidad de ejecución remota de código de JeecgBoot
JeecgBoot es una plataforma de desarrollo de código bajo de código abierto con 35.500 estrellas al 14 de agosto de 2023.
Existen vulnerabilidades de ejecución remota de código en las versiones JeecgBoot v3.0 a v3.5.3, y los atacantes pueden ejecutar remotamente código arbitrario sin autorización.
En la actualidad, Murphy Security ha reproducido dos métodos de explotación. Dado que no se ha publicado el parche oficial, se recomienda a los desarrolladores que eviten exponer JeecgBoot al mundo exterior para mitigar esta vulnerabilidad.
2. Vulnerabilidad de acceso no autorizado a la API en los antecedentes de privatización de WeChat empresarial
Hay una vulnerabilidad de acceso no autorizado a la interfaz en la privatización de WeChat empresarial versión 2.5.x y versión 2.6.930000 y anteriores. Permisos de aplicaciones dentro de WeChat.
Se recomienda actualizar el parche de vulnerabilidad a tiempo: https://doc.weixin.qq.com/doc/w3_AHMA2gaDACcx2VCiMOwRo2yoAWiVM , o actualizar la privatización de Enterprise WeChat a la versión 2.6.930000 y superior.
3. WPS Office tiene una vulnerabilidad de ejecución de código (MPS-3pcb-l4mv) El
software WPS Office es un paquete de software de oficina desarrollado de forma independiente por Kingsoft Office Software Co., Ltd.
En las versiones afectadas, hay una falla de diseño en el mecanismo de lista blanca de nombres de dominio del navegador integrado en WPS Office. Un atacante podría aprovechar esta vulnerabilidad para crear archivos maliciosos.
Después de que la víctima abre el archivo y hace clic en una imagen u objeto con un hipervínculo, el código malicioso del servidor remoto puede descargarse en el directorio especificado y ejecutarse.
Enlace de referencia: https://www.oscs1024.com/hd/MPS-3pcb-l4mv
4. Vulnerabilidad de ejecución remota de código de Microsoft Exchange Server (CVE-2023-38182)
Microsoft Exchange Server es un servidor de correo desarrollado por Microsoft Corporation.
En la versión afectada de Microsoft Exchange Server, un atacante con derechos de usuario normales (credenciales de usuario de Exchange) puede atacar los servicios de Exchange en el mismo entorno de intranet y ejecutar código arbitrario de forma remota.
Debido a problemas con el parche de agosto de 2023 en versiones que no están en inglés, se recomienda corregir la vulnerabilidad aplicando la mitigación de secuencias de comandos proporcionada para CVE-2023-21709. (https://aka.ms/CVE-2023-21709ScriptDoc)
Enlace de referencia: https://www.oscs1024.com/hd/MPS-8ld7-492x
5. Smartbi establece la dirección de devolución de llamada del Token sin autorización para obtener privilegios de administrador (MPS-exyg-uhi8)
Smartbi es una aplicación de inteligencia empresarial que proporciona integración de datos, análisis, visualización y otras funciones para ayudar a los usuarios a comprender y utilizar sus datos para tomar decisiones.
Existe una vulnerabilidad de dirección de devolución de llamada de token en la versión afectada de Smartbi. Un atacante no autorizado puede enviar una solicitud POST al sistema de destino a través de la interfaz /smartbix/api/monitor/setAddress y establecer el parámetro de dirección en una dirección de servidor controlada por el atacante para obtener la gestión La información del token de miembro, a fin de hacerse cargo del fondo con privilegios de administrador.
Enlace de referencia: https://www.oscs1024.com/hd/MPS-exyg-uhi8
* Ver la página de detalles de la vulnerabilidad para admitir la detección gratuita de componentes defectuosos de terceros utilizados en el proyecto
Monitoreo del riesgo de envenenamiento
La cantidad de componentes maliciosos monitoreados por OSCS contra los repositorios de NPM se muestra a continuación.
Esta semana, se descubrieron 115 versiones diferentes de componentes maliciosos:
- El 64 % de los componentes de envenenamiento son: Obtener información confidencial del host (obtener información confidencial, como el nombre de usuario y la IP del host, y enviarla al servidor malicioso)
- 8% de los componentes envenenados son: detección de instalación
- El 14% de los componentes de envenenamiento son: obtener información confidencial del usuario (como contraseñas de cuentas, direcciones de billetera, cookies del navegador, etc.)
- El 14 % de los componentes envenenados son: instalación de archivos de puerta trasera troyanos
otra información
Las fallas de análisis de URL de Python pueden conducir a ataques de ejecución de comandos
https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html
Información Suscripción
OSCS (Comunidad de seguridad de la cadena de suministro de software de código abierto) publica las últimas tendencias de riesgos de seguridad de los proyectos de código abierto de la manera más rápida y completa, incluida información sobre vulnerabilidades de seguridad e incidentes de componentes de código abierto. Al mismo tiempo, proporciona servicios de suscripción gratuitos para vulnerabilidad e inteligencia de envenenamiento. Los usuarios de la comunidad pueden obtener información de inteligencia de primera mano de manera oportuna mediante la configuración de Feishu, DingTalk y los robots WeChat corporativos:
https://www.oscs1024.com/ cm
Para obtener detalles sobre cómo suscribirse, consulte:
https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E %8B% E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9
