本周安全态势综述
OSCS 社区共收录安全漏洞 7 个,公开漏洞值得关注的是 Apache Superset<2.1.1 远程代码执行漏洞( CVE-2023-37941 )、Redis SORT_RO命令可绕过 ACL 配置( CVE-2023-41053 )、Argo CD 集群密钥泄漏风险( CVE-2023-40029 )、Cacti<1.2.25 reports_user.php SQL注入漏洞( CVE-2023-39358 )。 针对 NPM 仓库,共监测到 48 个不同版本的投毒组件,值得关注的是 kwaishop-radar 等投毒组件包窃取 Mac 系统敏感信息(MPS-rtu2-sexb)。
重要安全漏洞列表
1、 Apache Superset<2.1.1 远程代码执行漏洞(CVE-2023-37941)
Apache Superset 是一个开源的数据可视化工具,metadata 数据库用于存储 Superset 元数据(如配置信息)。Python 的 pickle 包用于序列化和反序列化 Python 对象。
Apache Superset 2.1.1之前版本中使用 Python 的 pickle 包存储配置数据,对metadata数据库(如:SQLite)具有写访问权限的攻击者可通过SQL Lab等将恶意的 pickle 负载存储到 metadata 数据库,当 Su