OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞

最新推荐文章于 2025-05-08 12:14:03 发布
最新推荐文章于 2025-05-08 12:14:03 发布
阅读量1.2k 收藏 22
点赞数 36
文章标签: 开源 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangluoanquan111/article/details/137550727
版权

本周安全态势综述

OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL
验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark
Provider 任意文件读取漏洞(CVE-2023-40272)。

针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive
等携带远控木马,该系列的组件包具有持续性威胁行为 。

重要安全漏洞列表

1. Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)
Apache NiFi 是一个开源的数据流处理和自动化工具。
在受影响版本中,由于多个Processors和Controller Services在配置JDBC和JNDI
JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL,导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证,可能造成数据泄露等危害。
参考链接:https://www.oscs1024.com/hd/MPS-0378-t16x

2. PowerJob 未授权访问漏洞(CVE-2023-36106)
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问
/container/list接口获取应用容器的标识、运行状态、日志等敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-st3c-aw5x

3. Apache Airflow Spark Provider 任意文件读取漏洞
Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache
Spark作业。
受影响版本中,在JDBC连接时,由于没有对conn_prefix参数做验证,允许输入"?"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器,读取Airflow上的任意文件。
参考链接:https://www.oscs1024.com/hd/MPS-w0kg-9vl7

4. NPM 组件包 mall-front-babel-directive 等携带远控木马
投毒者于8月17日起发布了 essc-crypto、urs-remote 等NPM组件包之后,相继发布 mall-front-babel-directive
等NPM投毒包,当用户安装时会针Windows/Mac/Linux系统从以下网址下载对应远控木马,进而与攻击者可控的C2服务器建立连接,远程执行系统命令或执行任意文件的上传/下载。
Windows版本:hxxps://img.murphysec-nb.love/w_x32.exe
Mac版本:hxxps://img.murphysec-nb.love/m_arm64
Linux版本:hxxps://img.murphysec-nb.love/l_x64
参考链接:https://www.oscs1024.com/hd/MPS-6olr-8p73

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/c3506cc282b04949be395b7aafed710f.png#pic_center)

本周新发现 81 个不同版本的恶意组件:
![在这里插入图片描述](https://img-
blog.csdnimg.cn/7d1a89ef2c13428b966898c793d058ba.png#pic_center)

  • 64% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
  • 36% 的投毒组件为:安装木马后门文件

其他资讯

中路对线发现正在攻防演练中投毒的红队大佬
https://mp.weixin.qq.com/s/zHgRa9Whp2mCpHVviHoOwg

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm

具体订阅方式详见:
[https://www.oscs1024.com/docs/vuln-
warning/intro/#情报类型和推送内容](https://www.oscs1024.com/docs/vuln-
warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E%8B%E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9)
在这里插入图片描述

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

未授权漏洞PowerJob未授权访问漏洞(CVE-2023-29922)
李火火的安全圈
06-11 2867
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。受影响版本中由于 JobController#listJobs 方法未对用户身份进行校验,攻击者可通过向 /job/list 接口发送POST请求,指定 appId 参数即可列出对应的正在运行的任务列表以及它们的状态信息。
ShokoServer /api/Image/withpath/ 任意文件读取漏洞复现(CVE-2023-43662)
0xSec
06-19 660
ShokoServer /api/Image/withpath/接口处存在任意文件读取漏洞,未经身份验证得攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
PowerJob 未授权访问导致命令执行漏洞
afeng12345678的博客
07-31 1565
PowerJob的官方推荐组件powerjob-official-processors中存在命令执行漏洞,攻击者可未授权加载恶意shell脚本执行系统命令。
【中危】PowerJob 未授权访问漏洞 (CVE-2023-36106)
OSCS开源安全社区
08-22 637
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。在 PowerJob 受影响版本中存在错误的访问控制漏洞。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
【严重】PowerJob<=4.3.3 远程代码执行漏洞
murphysec的博客
08-01 677
PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权,4.3.3 及之前版本中,未经授权的攻击者可向 /instance/detail 端点发送恶意构造的 instanceId 参数远程执行任意代码。PowerJob
CVE-2023-37754 PowerJob 未授权访问导致远程代码执行漏洞
afeng12345678的博客
07-31 2519
PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权,4.3.3 及之前版本中,未经授权的攻击者可构造恶意的数据包远程执行任意代码。
PowerJob 未授权访问漏洞
afeng12345678的博客
07-31 886
PowerJob存在未授权访问漏洞,该漏洞源于powerjob-server\powerjob-server-starter\src\main\java\tech\powerjob\server\web\controller路径下的全部Controller层的Restful接口均未添加访问控制,导致攻击者无需身份认证即可获取系统敏感信息。
PowerJob 继续踩坑,部分定时任务没有执行
天码星空
11-28 1890
既然已经配置了cron表达式, 而且状态已经开启, 那么下次触发时间为空的话,日志中应该给出明确的错误提示.否则,很难调查问题.
记录一次Powerjob踩的坑(Failed to deserialize message)
天码星空
11-20 2565
Failed to deserialize message
项目终于用上了 PowerJob,真香!
码猿技术专栏
12-09 1243
大家好,我是不才陈某~最近在调研分布式任务如何选型,最终选择了比较年轻的PowerJob,下面会简单介绍下这个框架的使用以及它的运行流程。 一、选择PowerJob的原因 1.1:同类产品对比官方文档给出的同类产品对比图:表1https://www.yuque.com/powerjob/guidence/ztn4i51.2:特点定制方面:代码较简单,易于理解和改造,比如我们就集成了自己的服务发现平...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2563
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
PowerJob 的自实现高可用方案,妙妙妙!
HelloGitHub 的博客
08-12 2891
本文适合有 Java 基础知识的人群作者:HelloGitHub-SalieriHelloGitHub 推出的《讲解开源项目》[1]系列。碎碎念高可用放到今天已经不是一个新颖的词汇了,怎...
PowerJob 在线日志饱受好评的秘诀:小但实用的分布式日志系统
HelloGitHub 的博客
08-26 1266
本文适合有 Java 基础知识的人群作者:HelloGitHub-SalieriHelloGitHub 推出的《讲解开源项目》系列。项目地址:https://github.com/KFC...
IvorySQL 再次走进北京大学研究生开源公选课
IvorySQL的博客
05-07 520
北京大学“PostgreSQL开发基础及实践”研究生课程旨在促进开源技术在中国高校的传播,进一步提高北京大学研究生对PostgreSQL的开发实践能力,培育未来的数据库研发人才。PostgreSQL生态不断繁荣,国内涌现了大量基于PostgreSQL创新的开源项目和周边工具,特别是PostgreSQL生态开源项目IvorySQL(兼容Oracle)不仅能帮助企业通过使用开源数据库降本增效,也为高校师生参与开源项目提供路径。讲师矫顺田在北大课程中介绍,IvorySQL基于PostgreSQL打造,通过。
开源】Python打造高效剪贴板历史管理器:实现跨平台生产力工具
最新发布
白泽的博客
05-08 1481
在日常工作和编程中,剪贴板是我们使用最频繁的功能之一。但Windows自带的剪贴板只能保存最近一次的内容,当我们需要回溯之前复制过的内容时,就显得力不从心。实时监控剪贴板变化,自动保存历史记录支持快捷键快速粘贴历史内容(Ctrl+D+数字)美观的GUI界面,支持多种主题切换系统托盘运行,不占用任务栏空间历史记录持久化保存,重启不丢失内容搜索和分类管理功能这个工具特别适合程序员、文字工作者和需要频繁复制粘贴的用户群体,能显著提高工作效率。跨平台。
企业级AI革命!私有化部署开源大模型:数据安全+自主可控,打造专属智能引擎
Vx18664956126的博客
05-07 415
私有化部署开源大模型强势破局——将顶尖AI能力“装进”企业内网,数据0外流,模型随心改,成本直降60%!1️⃣ 选型适配:根据算力资源(GPU/CPU)、数据规模推荐模型架构(7B/13B/70B)。2️⃣ 领域微调:注入企业知识库、业务文档,训练专属模型,支持LoRA高效微调。AI大模型浪潮席卷全球,但企业面临两大痛点:数据隐私风险高、公有云服务难定制!数据安全 数据上传第三方,合规风险高 ✅ 数据全程本地,100%自主掌控。长成本 按调用量付费,长成本不可控 ✅ 一次投入,复用无上限。
开源程序opensourcecaptchasolver:赚取积分的新途径
3. 下载与运行:用户可以通过下载开源文件OpenSourceCaptchaSolver.zip并解压来获取opensourcecaptchasolver。解压后,用户可以使用linux系统上的opensourcecaptchasolver.sh脚本,或者在Windows和Mac系统上使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值