(0718-0724)本周开源软件安全大事记

本周安全态势综述

OSCS社区共收录安全漏洞26个,值得关注的是Apache Spark UI shell 命令注入漏洞(CVE-2022-33891),Apache Xalan 存在整数截断漏洞(CVE-2022-34169和Redis XAUTOCLAIM 命令存在堆溢出漏洞(CVE-2022-31144)。

针对NPM仓库,共监测到6次投毒事件,涉及119个不同版本的NPM组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

Apache Spark UI shell 命令注入漏洞(CVE-2022-33891)

Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。

如果Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。

参考链接:https://www.oscs1024.com/hd/MPS-2022-19085

Apache Xalan 存在整数截断漏洞,组件已不再维护(CVE-2022-34169)

Xalan是Apache的开源软件库,Xalan的主要功能是将 X

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值