OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞

最新推荐文章于 2024-08-25 07:04:05 发布
最新推荐文章于 2024-08-25 07:04:05 发布
阅读量904 收藏 28
点赞数 8
文章标签: 开源 安全 apache web安全 网络协议 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz12345600354/article/details/139487404
版权

本周安全态势综述

OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL
验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark
Provider 任意文件读取漏洞(CVE-2023-40272)。

针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive
等携带远控木马,该系列的组件包具有持续性威胁行为 。

重要安全漏洞列表

1. Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)
Apache NiFi 是一个开源的数据流处理和自动化工具。
在受影响版本中,由于多个Processors和Controller Services在配置JDBC和JNDI
JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL,导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证,可能造成数据泄露等危害。
参考链接:https://www.oscs1024.com/hd/MPS-0378-t16x

2. PowerJob 未授权访问漏洞(CVE-2023-36106)
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问
/container/list接口获取应用容器的标识、运行状态、日志等敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-st3c-aw5x

3. Apache Airflow Spark Provider 任意文件读取漏洞
Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache
Spark作业。
受影响版本中,在JDBC连接时,由于没有对conn_prefix参数做验证,允许输入"?"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器,读取Airflow上的任意文件。
参考链接:https://www.oscs1024.com/hd/MPS-w0kg-9vl7

4. NPM 组件包 mall-front-babel-directive 等携带远控木马
投毒者于8月17日起发布了 essc-crypto、urs-remote 等NPM组件包之后,相继发布 mall-front-babel-directive
等NPM投毒包,当用户安装时会针Windows/Mac/Linux系统从以下网址下载对应远控木马,进而与攻击者可控的C2服务器建立连接,远程执行系统命令或执行任意文件的上传/下载。
Windows版本:hxxps://img.murphysec-nb.love/w_x32.exe
Mac版本:hxxps://img.murphysec-nb.love/m_arm64
Linux版本:hxxps://img.murphysec-nb.love/l_x64
参考链接:https://www.oscs1024.com/hd/MPS-6olr-8p73

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。

本周新发现 81 个不同版本的恶意组件:

  • 64% 的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
  • 36% 的投毒组件为:安装木马后门文件

其他资讯

中路对线发现正在攻防演练中投毒的红队大佬
https://mp.weixin.qq.com/s/zHgRa9Whp2mCpHVviHoOwg

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm

具体订阅方式详见:

在这里插入图片描述

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,### 如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)

👉网安(嘿客)全套学习视频👈

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

img

👉网安(嘿客红蓝对抗)所有方向的学习路线****👈

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

img

学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

在这里插入图片描述

面试题资料

独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
在这里插入图片描述

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习客常用的开发软件都在这里了,给大家节省了很多时间。

这份完整版的网络安全(客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

在这里插入图片描述

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网安李李
关注
Python库 | apache-airflow-providers-apache-spark-2.1.3.tar.gz
04-06
资源分类:Python库 所属语言:Python 资源全名:apache-airflow-providers-apache-spark-2.1.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
OpenSSH 安全漏洞(CVE-2023-51385) 升级v9(1),2024年最新网络安全面试基础知识
芯_v_648374雨馨博客
04-18 521
检查相应配置文件后,还原备份文件(可选)
开源项目《每周报告》(WeeklyReport) 使用指南
最新发布
gitblog_00183的博客
08-25 253
开源项目《每周报告》(WeeklyReport) 使用指南 WeeklyReport基于Flask的开源周报系统,快速docker部署项目地址:https://gitcode.com/gh_mirrors/we/WeeklyReport 项目目录结构及介绍 GitHub仓库: https://github.com/CodingCrush/WeeklyReport.git 本开源项目《每周报告》...
CVE-2023-36025 Windows SmartScreen 安全功能绕过漏洞
cc123489ll的博客
05-31 793
CVE-2023-36025是微软于11月补丁日发布的安全更新中修复WindowsSmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户单击特制的URL来利用该漏洞,对目标系统进行攻击。成功利用该漏洞的攻击者能够绕过WindowsDefender SmartScreen检查及其相关提示。该漏洞的攻击复杂性较低,可创建并诱导用户点击恶意设计的 Internet 快捷方式文件(.URL) 或指向此类文件的超链接来利用该漏洞,无需特殊权限即可通过互联网进行利用。
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 9029
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
CVE-2023-46604复现学习
shierbai的博客
05-19 780
Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。
有机场效应晶体管(OFET)的多功能集成:进展和展望
04-13
这使得有机场效应晶体管在各种有机光电设备中的应用非常广泛,包括有机发光二极管(OLEDs)、有机太阳能电池(OSCs)等。此外,有机场效应晶体管还可以在分子层面上通过半导体设计实现功能控制,使得有机材料能够在...
甲醇溶剂处理:一种基于PTB7-Th:PCDTBT:PC70BM的简单策略,可显着提高空气处理的三元有机太阳能电池的效率和稳定性
03-12
有机太阳能电池(OSCs)由于其低成本、轻质、易制造和柔性等优势,在光伏技术领域备受关注。尤其是近年来,三元有机太阳能电池(Ternary OSCs)作为一类有前景的候选者,在光电转换效率和空气稳定性方面吸引了大量的...
基于具有氟化烷氧基苯基侧链的新型苯并[1,2-b:4,5-b']二噻吩衍生物的高效聚合物太阳能电池
03-07
此外,基于PBDTPF-DTBT和PC71BM的体异质结有机太阳能电池(OSCs)表现出优秀的光伏性能,其光电转换效率(PCE)达到了7.02%。本工作证明了含有氟化烷氧基苯基侧链的BDT单元作为高性能溶液加工型 OSCs 中的富电子构建...
DLTA-ZnO为阴极界面层的高效非富勒烯有机太阳能电池.docx
12-15
有机太阳能电池(Organic Solar Cells, OSCs)因其高效能、轻便以及可柔性化的特点,近年来备受关注。非富勒烯有机太阳能电池(Non-Fullerene Organic Solar Cells, NF-OSCs)通过发展高效的光活性材料和界面材料,...
通过协同优化的光子收集和相分离,高效的小分子三元太阳能电池
03-06
有机太阳能电池(OSCs)由于其低成本、轻质、灵活性和环境友好性,被认为是极富潜力的能量转换设备。有机光伏器件的PCE已经迅速提高至10%,主要得益于窄带隙供体材料的使用。为了获得高性能的有机太阳能电池,光子...
探索Confluence安全漏洞利用:ConfluenceMemshell详解
gitblog_00017的博客
05-31 677
探索Confluence安全漏洞利用:ConfluenceMemshell详解 项目地址:https://gitcode.com/Lotus6/ConfluenceMemshell 1、项目介绍 ConfluenceMemshell 是一个针对Confluence服务器漏洞利用工具,设计用于利用CVE-2021-26084、CVE-2022-26134以及最新的CVE-2023系列漏洞。这个开源...
如何看待mybatis-plus这个cve漏洞及声明
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-31 1182
该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略
gitblog_00037的博客
05-25 600
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略 CVE-2023-24055_PoC项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2023-24055_PoC 一、项目介绍 随着密码管理的重要性日益凸显,KeePass因其可靠性和开源性质而备受推崇。然而,最近披露的CVE-2023-24055暴露了其2.5x版本的一个...
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具
gitblog_00100的博客
05-25 522
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具 项目地址:https://gitcode.com/mistymntncop/CVE-2023-4863 在这个数字化的时代,网络安全的重要性不言而喻。为了保障网络的健康和安全,开发者们不断挑战新的漏洞,寻找解决方案。今天,我们将向您推荐一个专注于CVE-2023-4863漏洞的Proof-of-Concept...
hvv 前网安人必读的漏洞清单(2024年)
2401_84466229的博客
05-28 2502
数字化浪潮席卷全球,安全漏洞的发现和利用频率正以惊人的速度上升,尤其是工业自动化、绿色能源、财经领域、交通系统、国家防务以及医疗行业等关键部门,成为了网络攻击者的主要目标。数据侵犯和勒索软件的攻击层出不穷,凸显了安全漏洞正被黑客用作主要的攻击渠道。本文梳理、分析了 2023 年危害巨大、影响范围广泛、且攻击手法多变的漏洞,旨在为网络安全界的实践者们提供一个详细的漏洞信息概览,帮助安全从业者能够更全面地掌握这些安全威胁,并据此构建更为坚固的安全防线。
20232906 2023-2024-2 《网络与系统攻防技术》第十一次作业
mar-velous的博客
05-27 1293
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。
CraftCMS ConditionsController.php 代码执行漏洞CVE-2023-41892)
0xSec
05-31 745
CraftCMS在4.4.15版本之前存在远程代码执行漏洞,攻击者可构造恶意请求执行任意代码,控制服务器
高危漏洞处置时限/高危漏洞用不用修复-零基础漏洞教学
2401_84915584的博客
06-03 639
阅读: 965一、漏洞概述12月13日,绿盟科技CERT监测到微软发布12月安全更新补丁,修复了34个安全问题
Arduino+OSC:iPad遥控的铁路王国构建教程
2. **OSCs and TouchOSC**: TouchOSC是一款跨平台的音频和MIDI控制应用程序,用户可以创建自定义界面并与Arduino交互。你需要配置TouchOSC,以便在iPad上发送指令控制伺服电机的动作,从而模拟火车在铁路网络中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值