OSCS开源安全周报第13期：Exchange 高危漏洞公开

本周安全态势综述

OSCS 社区共收录安全漏洞31个，公开漏洞值得关注的是 Apache Commons JXPath 存在代码执行漏洞（CVE-2022-41852），Microsoft Exchange 远程代码执行漏洞(ProxyNotShell（CVE-2022-41040），Apache Tomcat 条件竞争漏洞（CVE-2021-43980），FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞（CVE-2022-42003）。

针对 NPM 、PyPI仓库，共监测到 153 个不同版本的 NPM 、PyPI组件，投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

1、Apache Commons JXPath 存在代码执行漏洞（CVE-2022-41852）

commons-jxpath 是一个 java 库，是 Xpath 基于 java 语言的一种实现。

使用 JXPath 来解释不受信任的 XPath 表达式的人可能容易受到远程代码执行攻击。所有处理 XPath 字符串的 JXPathContext 类函数都容易受到攻击，除了 compile() 和 compilePath() 函数。攻击者可以使用 XPath 表达式从类路径加载任何 Java 类，从而导致代码执行。

参考链接：https://www.oscs1024.com/hd/MPS-2022-58476

2、Microsoft Exchange 远程代码执行漏洞(ProxyNotShel