墨菲安全-CSDN博客

原创墨菲安全入选首批“切面联盟技术合作伙伴计划”

墨菲安全作为安全平行切面联盟成员，凭借“基于切面技术的软件供应链安全”产品特色和创新实践，入选首批“切面联盟技术合作伙伴计划”，成为切面联盟唯一一家在软件供应链安全领域的合作伙伴。

2024-08-14 15:36:56 1076

这篇最佳实践的内容取材于互联网、金融、运营商、智能制造、能源等领域数十家头部企业在过去近三年时间的实践经验总结，在编写这篇最佳实践的2个多月过程中，我又收到将近20家企业的应用安全专家及安全负责人的高质量建议，这其中包括来自小米的piaca、月胜、涂鸦智能的刘龙威、快手的廖师傅及非零解、百度的长林、知乎的维祥及夜明、传化物流的国超、某支付的刘奇及山人、某科技公司的我宝哥及杨哥、京东的斯诺、蚂蚁的小哥等一众大佬的支持，当然还有来自墨菲安全的一众专业和可爱小伙伴们两个多月的付出。1、企业最佳实践的分享。

2024-04-30 10:27:38 747

原创差点引爆全球的核弹，深度分析XZ-Utils供应链后门投毒事件

wp:quote处心积虑的投毒者蛰伏三年多，精心选择对象，通过复杂的攻击手法、专业的技战术，一步步支起一张大网，企图掌控全球主流linux发行版，一旦成功他将可以随意侵入全球绝大多数的服务器，这将是足以引爆全球的核弹危机。所幸由于复杂度过高以及投毒者的疏忽，事件被及早发现，没有造成过大的现实危害。但此次事件再次凸显出开源软件生态的脆弱性，本次事件仍可能只是冰山下的一角。墨菲安全也提醒所有企业不应该默认相信来自开源社区的软件，应该加强企业自身的供应链安全体系建设，才能当危机来临时应对自如。/wp:quote。

2024-04-01 18:01:23 3227

原创剖析美国政府视角下的ICT供应链安全

2018 年 11 月 15 日，美国国土安全部（DHS）宣布成立了信息和通信技术 (ICT) 供应链风险管理（SCRM）工作组，这个工作组是由美国多个政府部门、IT行业企业代表及通信行业企业代表联合成立的。该组织对外宣传的目标是识别和管理全球 ICT 供应链的风险。之后该组织非常活跃，2024 年 2 月 6 日，该组织刚刚宣布将工作组延长两年。

2024-03-25 12:14:21 1182 1

原创墨菲安全在软件供应链安全领域阶段性总结及思考

反观，今天企业软件应用的生产过程正在经历这么一个逐渐走向成熟的过程，据权威数据统计目前各行业企业的软件应用大概来自供应链的成分占比超过90%，据工信部数据显示2022年全国软件及信息化相关服务市场规模超过10万亿，到2028年还将翻一番来到20万亿，而当前软件产业链在安全上的投入恐怕连0.1%（100亿）都不到，这里面未来发展的空间非常大。传统的开发安全体系（SDL/DevSecOps）更多的关注的是软件研发过程中的安全管控，但是实际上软件供应链安全要贯穿软件从生产、分发、应用、持续更新等全过程的管理。

2024-03-20 14:24:46 943 1

原创企业开展开源安全治理必要性及可行性详细分析

当新鲜事物产生时，首先我们应该积极的态度去拥抱它，但是它是不是真的值得我们投入（包括当下工作和未来个人技术成长），就需要客观的分析其必要性，同时结合自身情况了解它的可行性。开源安全治理方向是近几年经济下行周期中企业为数不多大家关注的热门方向，也是当前企业面临的主要安全威胁，大量勒索攻击、数据泄露事件究其原因都与此有关，再加上自主可控的大背景需求下，此项需求被催生和释放就理所当然了。但是面对这样一个热门的方向，行业头部企业都在积极投入和规划，我们应该如何客观看待，开源安全治理到底是昙花一现的伪需求？

2024-03-18 11:28:32 1438 1

原创【高危】Apache Solr 环境变量信息泄漏漏洞

Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中，由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下，攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求，从而获取到运行 Solr 实例的主机上的所有系统环境变量，包括敏感信息的配置、密钥等。

2024-01-17 18:22:20 1006

原创【中危】IoTDB 存在远程代码执行漏洞

Apache IoTDB是时序数据的数据管理系统，为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎，全称是Java表达式语言(Java Expression Language)，可以在 java 程序中动态地运算一些表达式在受影响版本中，由于IoTDB通过UDTFJexl.java实现 JEXL 表达式支持。攻击者可以通过配置 UDF，调用 JEXL表达式来执行 JAVA命令，导致存在远程代码执行漏洞。

2024-01-17 18:19:19 537

原创【高危】Google Chrome V8 ＜ 120.0.6099.224 越界内存访问漏洞

Google Chrome V8 是一个由Google开发的开源JavaScript引擎，用于Google Chrome及Chromium中。Google Chrome 120.0.6099.224版本之前中，当通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时，可能未能正确处理内存或属性映射，导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入，从而可能导致代码执行。漏洞已被Google发现在野利用。

2024-01-17 17:27:37 1032

原创【严重】Atlassian Confluence 模板注入代码执行漏洞

Confluence 是由Atlassian公司开发的企业协作和文档管理工具。Atlassian Confluence Data Center/Server 受影响版本中存在模版注入漏洞，攻击者通过构造恶意请求，可以在未登录的情况下在Confluence实例上触发远程代码执行漏洞。漏洞已在8.5.4版本中修复，可能与velocity引擎中对snakeyaml、antlr等组件的支持有关。

2024-01-17 17:25:03 555

原创【低危】OpenSSL 拒绝服务漏洞

OpenSSL 是广泛使用的开源加密库。在 OpenSSL 3.0.0 到 3.0.12, 3.1.0 到 3.1.4 和 3.2.0 中，使用函数 EVP_PKEY_public_check() 来检查 RSA 公钥的应用程序可能会遇到长时间延迟。如果检查的密钥是从不可信任的来源获取的，这可能会导致拒绝服务。其他 OpenSSL 函数不会调用 EVP_PKEY_public_check()函数，但会在 OpenSSL pkey 命令行应用程序中调用。

2024-01-17 17:22:38 1305

原创【严重】GitLab 以其他用户身份执行 Slack 命令

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。GitLab 受影响版本中，由于配置Slack/Mattermost 集成时，未正确验证用户身份信息，导致攻击者可以使用其他用户身份执行 Slack 命令。2024/1/12。

2024-01-15 14:39:56 680

原创【高危】Apache Solr 环境变量信息泄漏漏洞

Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中，由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下，攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求，从而获取到运行 Solr 实例的主机上的所有系统环境变量，包括敏感信息的配置、密钥等。

2024-01-15 14:34:43 896

原创【严重】GitLab 账号接管漏洞

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码，默认情况允许通过未经确认电子邮件重置密码。攻击者可以利用此漏洞将用户帐户密码重置电子邮件发送任意未经验证的电子邮件地址，导致用户帐户被接管。GitLab 账号接管漏洞。

2024-01-15 14:32:12 850

原创《网络弹性法案》协议达成，欧盟立法进一步临近实施

一封由 Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd 和 Trend Micro 等多个组织代表签署的公开信声称，关于漏洞披露的规定适得其反，将制造新的威胁，破坏数字产品及其使用者的安全。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析（SCA）等，丰富的安全工具助您打造完备的软件开发安全能力（DevSecOps）。

2023-12-08 21:00:07 705

原创 libcurl Socks5 堆缓冲区溢出漏洞（CVE-2023-38545）详细分析

curl 是用于在各种网络协议之间传输数据的命令行工具，libcurl 用于提供处理网络通信和数据传输的 Api 接口。curl 默认下载缓冲区为 102400 字节，但如果设置低于每秒 102400 字节，缓冲区大小会自动设置为更小的值。libcurl 下载缓冲区默认为 16KB，应用程序可通过 CURLOPT_BUFFERSIZE 选项设置其大小。

2023-10-25 15:06:25 848

原创 CVE-2023-5129 libwebp堆缓冲区溢出漏洞影响分析

近日苹果、谷歌、Mozilla和微软等公司积极修复了libwebp组件中的缓冲区溢出漏洞，相关时间线如下：9月7日，苹果发布紧急更新，修复了此前由多伦多大学公民实验室报告的iMessage 0-click 漏洞，漏洞被认为已经被NSO公司的Pegasus间谍软件所利用，漏洞编号CVE-2023-41064；9月8日，libwebp 开发者提交 commit 修复了由于越界写入导致的堆缓冲区溢出漏洞；

2023-09-28 15:26:45 1741

转载近期大型攻防演练观感及未来攻防趋势判断

此外，对于攻击方来说，整理和收集这些开源组件通用漏洞的POC/EXP，相对来说成本很低，而且很多都已经整理成现成的攻击工具了，像今年国产的低代码开源项目Jeecg-boot出了好几个0day（老惨了），这类系统漏洞很多，并且相对来说获取成本比较低，而国内又确实有不少关基的客户在用，打起来性价比还是相当不错的，此外就是一些针对python及npm的投毒，这些攻击起来门槛比较低，说不定有意外的收获。最后，因为这些市场覆盖率高的产品，大部分关基行业的客户都会用，而且拿这些产品的0day打进去，不容易被拦截。

2023-08-21 18:37:44 325

原创中路对线发现正在攻防演练中投毒的红队大佬

2023年8月14日晚，墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章，紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview，该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1)，且该域名注册时间就是8月14号，投毒者使用的注册邮箱同样是hotmail临时注册的邮箱，很显然大概是上次被我们公开投毒行为的攻击者正在火速赶往中路与我们对线，大哥，速度要不要这么快 -_-!

2023-08-18 14:24:49 794

原创【高危】 jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

2023-08-17 14:20:26 1163

原创【高危】企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。企业微信私有化版本@[2.5.0, 2.6.930000)

2023-08-17 14:18:07 1298

原创【严重】jeecg-boot/积木报表基于SSTI的任意代码执行漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。官方已发布补丁：https://github.com/jeecgboot/jeecg-boot/commit/acb48179ab00e167747fa4a3e4fd3b94c78aeda5。

2023-08-17 14:17:35 1518

原创首起针对国内金融企业的开源组件投毒攻击事件

2023年8月9日，墨菲监控到用户名为 snugglejack_org (邮件地址：SnuggleBearrxx@hotmail.com）的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量，经过确认该组件包携带远控脚本，从攻击者可控的 C2 服务器接收并执行系统命令，该组件包于2023年8月10日7点 21 分从 NPM 仓库下架。

2023-08-15 16:09:44 2111

原创【中危】Apache Airflow Drill Provider ＜ 2.4.3 存在任意文件读取漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

2023-08-14 17:18:07 337

原创【严重】Smartbi未授权设置Token回调地址获取管理员权限

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Smartbi一站式BI大数据分析平台@[V9, V10]

2023-08-14 17:09:01 415

原创 OSCS开源安全周报第 55 期：JeecgBoot 远程代码执行漏洞

OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。Smartbi是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。

2023-08-14 16:31:54 867

原创 Jeecg-boot JDBC任意代码执行漏洞

JeecgBoot是一款开源的企业级低代码平台，提供了表单、视图、流程等一键生成代码功能，目前在GitHub具有 35.5k star。

2023-08-13 15:13:57 2420

原创 OSCS 闭门研讨第一期实录：软件供应链安全建设价值

2023 年 7 月 18 日晚 19:30，软件供应链安全技术交流群（OSCS）组织了第一次线上的闭门研讨会，本次研讨会我们收到 71 个来自各个企业关注软件供应链安全的技术专家的报名，根据研讨会参与规则要求，我们对报名人员进行了审核，最终来自互联网、金融、运营商、软件厂商、国央企超过 35 名安全专家参与了当晚的研讨会

2023-08-10 18:03:37 464

原创【高危】Microsoft Office Visio 远程执行代码漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

2023-08-10 11:10:23 324

原创【高危】 Zoom Desktop Client for Windows ＜5.14.5 权限升级漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Zoom 是一种用于视频会议、在线会议和远程协作的软件平台。

2023-08-10 11:02:54 482

原创【高危】 Microsoft Exchange Server 远程代码执行漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。Microsoft Exchange Server 受影响版本中，具有普通用户权限（Exchange 用户凭据）的攻击者可能在同一内网环境中攻击Exchange服务，远程执行任意代码。

2023-08-10 10:52:26 479

原创【高危】 Microsoft Teams 远程代码执行漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。Microsoft Teams 受影响版本中，当用户加入攻击者设置的恶意 Microsoft Teams 会议时，攻击者可远程执行任意代码。升级Microsoft Teams for iOS到 5.12.1 或更高版本。

2023-08-10 10:44:10 265

原创【中危】 Apache Traffic Server Range 标头验证不当

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

2023-08-10 10:36:20 288

原创【高危】 WPS Office 存在代码执行漏洞

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。避免点击带有超链接的图片或对象。

2023-08-10 10:10:19 1478

原创【严重】Smartbi商业智能BI软件权限绕过漏洞

在 Smartbi 受影响版本中存在权限绕过问题，未授权的攻击者可以通过 RMI 的方式调用 getPassword 接口获取管理员 token 信息。OSCS 是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。Smartbi 是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。

2023-08-07 10:54:09 391

原创【严重】Apache Airflow Run Task 权限绕过漏洞

在 Airflow 受影响版本中，Run Task 功能允许用户手动触发执行特定的任务，而不受正常的任务调度和依赖关系限制。当用户没有执行某个特定任务的权限时，可以通过 Run Task 功能手动触发该任务的执行，从而绕过本应该实施的访问控制和依赖关系。OSCS 是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。Airflow 是一个开源的工作流自动化平台，它允许用户定义、调度和监视工作流任务的执行。

2023-08-07 10:53:00 383

空空如也

空空如也