Visão geral de segurança desta semana
A comunidade OSCS coletou 11 vulnerabilidades de segurança. As vulnerabilidades públicas que merecem atenção são a vulnerabilidade de execução remota de código JeecgBoot, a vulnerabilidade de acesso não autorizado da API de plano de fundo de privatização WeChat empresarial, a vulnerabilidade de execução de código WPS Office (MPS-3pcb-l4mv) e o Microsoft Vulnerabilidade de execução remota de código do Exchange Server Vulnerabilidade de execução de código (CVE-2023-38182), configuração não autorizada Smartbi de endereço de retorno de chamada de token para obter privilégios de administrador (MPS-exyg-uhi8).
Para armazéns NPM e PyPI, foram detectados um total de 115 versões diferentes de componentes tóxicos.
Lista de vulnerabilidades críticas de segurança
1. Vulnerabilidade de execução remota de código JeecgBoot
JeecgBoot é uma plataforma de desenvolvimento de baixo código de código aberto com 35,5 mil estrelas em 14 de agosto de 2023.
Existem vulnerabilidades de execução remota de código nas versões JeecgBoot v3.0 a v3.5.3, e os invasores podem executar remotamente código arbitrário sem autorização.
Atualmente, Murphy Security reproduz dois métodos de exploração. Como o patch oficial não foi lançado, recomenda-se que os desenvolvedores evitem expor o JeecgBoot ao mundo exterior para mitigar essa vulnerabilidade.
2. Vulnerabilidade de acesso não autorizado à API no plano de fundo da privatização do WeChat corporativo
Há uma vulnerabilidade de acesso não autorizado de interface na versão 2.5.xe versão 2.6.930000 e abaixo da privatização do WeChat corporativo. Permissões de aplicativos no WeChat.
Recomenda-se atualizar o patch de vulnerabilidade a tempo: https://doc.weixin.qq.com/doc/w3_AHMA2gaDACcx2VCiMOwRo2yoAWiVM , ou atualizar a privatização do Enterprise WeChat para a versão 2.6.930000 e superior.
3. WPS Office tem uma vulnerabilidade de execução de código (MPS-3pcb-l4mv) O
software WPS Office é um pacote de software de escritório desenvolvido independentemente pela Kingsoft Office Software Co., Ltd.
Nas versões afetadas, há uma falha de design no mecanismo de lista branca de nome de domínio do navegador incorporado no WPS Office. Um invasor pode explorar essa vulnerabilidade para criar arquivos maliciosos.
Depois que a vítima abre o arquivo e clica em uma imagem ou objeto com um hiperlink, o código malicioso no servidor remoto pode ser baixado para o diretório especificado e executado.
Link de referência: https://www.oscs1024.com/hd/MPS-3pcb-l4mv
4. Vulnerabilidade de execução remota de código do Microsoft Exchange Server (CVE-2023-38182) O
Microsoft Exchange Server é um servidor de e-mail desenvolvido pela Microsoft Corporation.
Na versão afetada do Microsoft Exchange Server, um invasor com direitos de usuário comuns (credenciais de usuário do Exchange) pode atacar os serviços do Exchange no mesmo ambiente de intranet e executar código arbitrário remotamente.
Devido a problemas com o patch de agosto de 2023 em versões diferentes do inglês, é recomendável corrigir a vulnerabilidade aplicando a mitigação de script fornecida para CVE-2023-21709. (https://aka.ms/CVE-2023-21709ScriptDoc)
Link de referência: https://www.oscs1024.com/hd/MPS-8ld7-492x
5. Smartbi define o endereço de retorno de token sem autorização para obter privilégios de administrador (MPS-exyg-uhi8)
Smartbi é um aplicativo de inteligência de negócios que fornece integração de dados, análise, visualização e outras funções para ajudar os usuários a entender e usar seus dados para tomar decisões.
Há uma vulnerabilidade de endereço de retorno de chamada de token na versão afetada do Smartbi. Um invasor não autorizado pode enviar uma solicitação POST ao sistema de destino por meio da interface /smartbix/api/monitor/setAddress e definir o parâmetro de endereço para um endereço de servidor controlado pelo invasor para obter gerenciamento As informações de token de membro, de modo a assumir o segundo plano com privilégios de administrador.
Link de referência: https://www.oscs1024.com/hd/MPS-exyg-uhi8
* Veja a página de detalhes da vulnerabilidade para oferecer suporte à detecção gratuita de componentes defeituosos de terceiros usados no projeto
Monitoramento de Risco de Envenenamento
O número de componentes maliciosos monitorados pelo OSCS em relação aos repositórios NPM é mostrado abaixo.
Nesta semana, 115 versões diferentes de componentes maliciosos foram descobertas recentemente:
- 64% dos componentes de envenenamento são: Obter informações confidenciais do host (obter informações confidenciais, como nome de usuário e IP do host, e enviá-las ao servidor mal-intencionado)
- 8% dos componentes envenenados são: detecção de instalação
- 14% dos componentes do envenenamento são: obter informações confidenciais do usuário (como senhas de contas, endereços de carteira, cookies do navegador, etc.)
- 14% dos componentes envenenados são: instalação de arquivos backdoor de cavalos de Tróia
outra informação
Falhas de análise de URL do Python podem levar a ataques de execução de comandos
https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html
Assinatura de informações
OSCS (Open Source Software Supply Chain Security Community) publica as últimas tendências de risco de segurança de projetos de código aberto da maneira mais rápida e abrangente, incluindo informações sobre vulnerabilidades de segurança e incidentes de componentes de código aberto. Ao mesmo tempo, fornece serviços de assinatura gratuitos para inteligência de vulnerabilidade e envenenamento. Os usuários da comunidade podem obter informações de inteligência em primeira mão em tempo hábil, configurando Feishu, DingTalk e robôs WeChat corporativos:
https://www.oscs1024.com/ cm
Para obter detalhes sobre como se inscrever, consulte:
https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E %8B% E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9
