本周安全态势综述
OSCS社区共收录安全漏洞26个,值得关注的是Apache Spark UI shell 命令注入漏洞(CVE-2022-33891),Apache Xalan 存在整数截断漏洞(CVE-2022-34169和Redis XAUTOCLAIM 命令存在堆溢出漏洞(CVE-2022-31144)。
针对NPM仓库,共监测到6次投毒事件,涉及119个不同版本的NPM组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
Apache Spark UI shell 命令注入漏洞(CVE-2022-33891)
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
如果Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。
参考链接:https://www.oscs1024.com/hd/MPS-2022-19085
Apache Xalan 存在整数截断漏洞,组件已不再维护(CVE-2022-34169)
Xalan是Apache的开源软件库,Xalan的主要功能是将 X