OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞

于 2024-05-31 09:43:26 发布
阅读量632 收藏 14
点赞数 12
文章标签: 开源 安全 apache 华为 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc123489ll/article/details/139342074
版权

本周安全态势综述

OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL
验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark
Provider 任意文件读取漏洞(CVE-2023-40272)。

针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive
等携带远控木马,该系列的组件包具有持续性威胁行为 。

重要安全漏洞列表

1. Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)
Apache NiFi 是一个开源的数据流处理和自动化工具。
在受影响版本中,由于多个Processors和Controller Services在配置JDBC和JNDI
JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL,导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证,可能造成数据泄露等危害。
参考链接:https://www.oscs1024.com/hd/MPS-0378-t16x

2. PowerJob 未授权访问漏洞(CVE-2023-36106)
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问
/container/list接口获取应用容器的标识、运行状态、日志等敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-st3c-aw5x

3. Apache Airflow Spark Provider 任意文件读取漏洞
Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache
Spark作业。
受影响版本中,在JDBC连接时,由于没有对conn_prefix参数做验证,允许输入"?"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器,读取Airflow上的任意文件。
参考链接:https://www.oscs1024.com/hd/MPS-w0kg-9vl7

4. NPM 组件包 mall-front-babel-directive 等携带远控木马
投毒者于8月17日起发布了 essc-crypto、urs-remote 等NPM组件包之后,相继发布 mall-front-babel-directive
等NPM投毒包,当用户安装时会针Windows/Mac/Linux系统从以下网址下载对应远控木马,进而与攻击者可控的C2服务器建立连接,远程执行系统命令或执行任意文件的上传/下载。
Windows版本:hxxps://img.murphysec-nb.love/w_x32.exe
Mac版本:hxxps://img.murphysec-nb.love/m_arm64
Linux版本:hxxps://img.murphysec-nb.love/l_x64
参考链接:https://www.oscs1024.com/hd/MPS-6olr-8p73

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。

本周新发现 81 个不同版本的恶意组件:

  • 64% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
  • 36% 的投毒组件为:安装木马后门文件

其他资讯

中路对线发现正在攻防演练中投毒的红队大佬
https://mp.weixin.qq.com/s/zHgRa9Whp2mCpHVviHoOwg

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm

具体订阅方式详见:

在这里插入图片描述

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

在这里插入图片描述

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全小张
关注
  • 12
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单的Apache Airflow(CVE-2022-40127)漏洞复现
kali_Ma的博客
12-09 1558
Apache Airflow 是一个可编程,调度和监控的工作流平台,基于有向无环图(DAG),Airflow 可以定义一组有依赖的任务,按照依赖依次执行。官方已发布版本 2.4.3,可升级Apache Airflow版本到2.4.0或以上,或者停用默认 Dags。当攻击者可访问到Apache Airflow的后台,且环境中存在默认。
OSCS开源安全周报第13:Exchange 高危漏洞公开
OSCS开源安全社区
10-10 3890
OSCS 社区共收录安全漏洞31个,公开漏洞值得关注的是 Apache Commons JXPath 存在代码执行漏洞(CVE-2022-41852),Microsoft Exchange 远程代码执行漏洞(ProxyNotShell(CVE-2022-41040),Apache Tomcat 条件竞争漏洞(CVE-2021-43980),FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞(CVE-2022-42003)。
【高危】Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272)
OSCS开源安全社区
08-22 1002
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。攻击者可以通过构造参数?产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
Apache Druid LoadData 任意文件读取漏洞
qq_52469895的博客
04-11 202
漏洞简介 由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。 0x01 漏洞复现 FOFA指纹: title="Apache Druid" 1 在网站首页左上角点击Load data 在点击 在url处执行命令file:///etc/passwd 0x02 漏洞POC和脚本
Apache Tomcat任意文件读取漏洞和命令执行漏洞源码分析(CVE-2020-1938)
午夜安全
03-27 2766
CVE-2020-1938(Tomcat源码漏洞分析) 环境准备 在分析Tomcat源码漏洞之前,我们先需要使用Idea配置Tomcat源码,请参考:https://blog.csdn.net/SouthWind0/article/details/105147406 漏洞分析 Tomcat在默认的conf/server.xml中配置了2个Connector,一个默认监听8080端口处理HT...
OSCS开源安全周报第7:本周投毒对象均为 NPM 仓库
OSCS开源安全社区
08-22 587
OSCS社区共收录安全漏洞33个,公开漏洞值得关注的是Apache Flume 存在JNDI注入漏洞(CVE-2022-34916),Apache Airflow Docker Provider
OSCS开源安全周报第 59 Apache Superset<2.1.1 远程代码执行漏洞(CVE-2023-37941)
OSCS开源安全社区
09-11 535
OSCS 社区共收录安全漏洞个,公开漏洞值得关注的是远程代码执行漏洞( CVE-2023-37941 )、命令可绕过配置( CVE-2023-41053 )、集群密钥泄漏风险( CVE-2023-40029 )、注入漏洞( CVE-2023-39358 )。针对仓库,共监测到个不同版本的投毒组件,值得关注的是等投毒组件包窃取系统敏感信息(
OSCS开源安全周报第24:XStream 栈缓冲区溢出漏洞
OSCS开源安全社区
01-03 801
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 XStream < 1.4.20 栈缓冲区溢出漏洞(CVE-2022-41966),Linux Kernel ksmbd模块存在任意代码执行漏洞(CVE-2022-47939),Squid 存在整数溢出漏洞(CVE-2022-41318),MeterSphere
OSCS开源安全周报第 57 :Smartbi windowUnloading限制绕过导致远程代码执行
OSCS开源安全社区
08-28 246
OSCS 社区共收录安全漏洞 13 个,公开漏洞值得关注的是 WinRAR
Python库 | apache-airflow-providers-apache-spark-2.1.3.tar.gz
04-06
资源分类:Python库 所属语言:Python 资源全名:apache-airflow-providers-apache-spark-2.1.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
前端开源项目周报0307
weixin_30521161的博客
03-07 75
由OpenDigg出品的前端开源项目周报第十一来啦。我们的前端开源周报集合了OpenDigg一周来新收录的优质的前端开源项目,方便前端开发人员便捷的找到自己需要的项目工具等。 react-trend简单优雅的光线 react-progressive-web-app优化ProgressiveWeb应用开发 pull-to-reload用于web的下拉刷新实现 micro-rou...
乌云漏洞笔记1-任意文件读取
乐枕的家
01-22 5765
阅读时间16.01.18 page1-3 敏感字段&RealPath= &FilePath= &filepath= &Path= &path= &inputFile= &url= &urls= &Lang= &dis= &data= &readfile= &filep= &src= &menu= META-INF WEB-INF可利用路径/etc/shadow /etc/passwd /
任意文件读取与下载漏洞
西电卢本伟的博客
04-07 8821
文件读取漏洞文件下载漏洞文件包含漏洞三者结合,靶场练习
Airflow dag中的命令注入漏洞(CVE-2020-11978)
m0_49025459的博客
10-31 188
进入CVE-2020-11978目录下,依次使用接下来的命令启动靶场访问漏洞地址:http://ip:8080 即可。
Apache Airflow 命令注入 (CVE-2020-11978)漏洞复现
最新发布
weixin_56537388的博客
11-08 167
Apache Airflow 是一个开源的分布式任务调度框架。在 1.10.10 之前的版本中,示例 DAG 中存在一个命令注入漏洞,该漏洞导致攻击者在工作进程中执行任意命令。
【高危】Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)
OSCS开源安全社区
08-31 880
墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全
Apache Airflow Provider Sqoop 模块远程代码执行漏洞
murphysec的博客
03-01 363
Apache Airflow 是一个以编程方式管理 workflow 的平台,Sqoop 模块用于在 Hadoop 和结构化数据存储(例如关系数据库)之间高效传输大量数据。 apache-airflow-providers-apache-sqoop 3.1.1 之前版本中,由于 SqoopHook 类创建 sqoop 连接时未对用户配置的 jar 文件进行过滤,有权修改 sqoop 连接配置(lib_jars 字段)的攻击者可上传恶意 jar 文件远程执行恶意代码。
OSCS开源安全周报第23:Foxit PDF Reader/Editor 任意代码执行漏洞
OSCS开源安全社区
12-26 630
OSCS 社区共收录安全漏洞10个,其中公开漏洞值得关注的是针对 NPM 、PyPI 仓库,共监测到 25 个不同版本的 NPM 、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;在多个不同名称的 PyPI 包中发现 W4SP 窃取器。Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。
Arduino+OSC:iPad遥控的铁路王国构建教程
2. **OSCs and TouchOSC**: TouchOSC是一款跨平台的音频和MIDI控制应用程序,用户可以创建自定义界面并与Arduino交互。你需要配置TouchOSC,以便在iPad上发送指令控制伺服电机的动作,从而模拟火车在铁路网络中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值