OSCS开源安全周报第 55 期:JeecgBoot 远程代码执行漏洞

本周安全态势综述

OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。

针对 NPM 、PyPI 仓库,共监测到 115 个不同版本的毒组件。

重要安全漏洞列表

1. JeecgBoot 远程代码执行漏洞
JeecgBoot 是一款开源的的低代码开发平台,截至2023年8月14日具有35.5k star。
JeecgBoot v3.0 至 v3.5.3 版本中存在远程代码执行漏洞,攻击者无需授权可远程执行任意代码。
目前墨菲安全已复现两种利用方式,由于官方尚未发布补丁,建议开发者避免将 JeecgBoot 对外暴露缓解此漏洞。

2. 企业微信私有化后台API未授权访问漏洞
企业微信私有化2.5.x版本及2.6.930000版本以下后台中存在接口未授权访问漏洞,攻击者可利用该漏洞获取企业通讯录等敏感信息及企业微信内应用权限。
建议及时更新漏洞补丁:https://doc.weixin.qq.com/doc/w3_AHMA2gaDACcx2VCiMOwRo2yoAWiVM,或将企业微信私有化升级至 2.6.930000 及以上版本。

3. WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)
WPS Office软件是由金山办公软件股份有限公司自主研发的一款办公软件套装。
受影响版本中,WPS Office 中嵌入的浏览器域名白名单机制存在设计缺陷。攻击者可以利用此漏洞创建恶意文件。
受害者打开文件并点击带有超链接的图片或对象后,可能将远程服务器上的恶意代码下载到指定目录下并执行。
参考链接:https://www.oscs1024.com/hd/MPS-3pcb-l4mv

4. Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)
Microsoft Exchange Server 是微软公司开发的一款邮件服务器。
Microsoft Exchange Server 受影响版本中,具有普通用户权限(Exchange 用户凭据)的攻击者可能在同一内网环境中攻击Exchange服务,远程执行任意代码。
由于2023年8月补丁在非英文版本中存在问题,建议通过应用针对CVE-2023-21709提供的脚本缓解修复该漏洞。(https://aka.ms/CVE-2023-21709ScriptDoc)
参考链接:https://www.oscs1024.com/hd/MPS-8ld7-492x

5. Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)
Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。
在 Smartbi 受影响版本中存在Token回调地址漏洞,未授权的攻击者可以通过向目标系统发送POST请求/smartbix/api/monitor/setAddress接口,将address参数设为攻击者可控的服务器地址,获取管理员token信息,从而以管理员权限接管后台。
参考链接:https://www.oscs1024.com/hd/MPS-exyg-uhi8

*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。
在这里插入图片描述

本周新发现 115 个不同版本的恶意组件:
在这里插入图片描述

  • 64%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)
  • 8%的投毒组件为:安装探测
  • 14%的投毒组件为:获取用户敏感信息(如账户密码、钱包地址、浏览器Cookie等)
  • 14%的投毒组件为:安装木马后门文件

其他资讯

Python URL 解析缺陷可能导致命令执行攻击
https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm

具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E%8B%E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/89444.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【深度学习】【风格迁移】Visual Concept Translator,一般图像到图像的翻译与一次性图像引导,论文

【深度学习】【风格迁移】Visual Concept Translator,一般图像到图像的翻译与一次性图像引导,论文

General Image-to-Image Translation with One-Shot Image Guidance 论文:https://arxiv.org/abs/2307.14352 代码:https://github.com/crystalneuro/visual-concept-translator 文章目录 Abstract1. Introduction2. 相关工作2.1 图像到图像转换2.2. Di…
阅读更多...
【信号生成器】从 Excel 数据文件创建 Simulink 信号生成器块研究(Simulink)

【信号生成器】从 Excel 数据文件创建 Simulink 信号生成器块研究(Simulink)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…
阅读更多...
Java课题笔记~ Spring 集成 MyBatis

Java课题笔记~ Spring 集成 MyBatis

Spring 集成 MyBatis 将 MyBatis 与 Spring 进行整合,主要解决的问题就是将 SqlSessionFactory 对象交由 Spring 来管理。所以该整合,只需要将 SqlSessionFactory 的对象生成器SqlSessionFactoryBean 注册在 Spring 容器中,再将其注入给 Dao…
阅读更多...
DTC服务(0x14 0x19 0x85)

DTC服务(0x14 0x19 0x85)

DTC相关的服务有ReadDTCInformation (19) service,ControlDTCSetting (85) service和ReadDTCInformation (19) service ReadDTCInformation (19) service 该服务允许客户端从车辆内任意一台服务器或一组服务器中读取驻留在服务器中的诊断故障代码( DTC )信息的状态…
阅读更多...
Java智慧工地APP源码带AI识别

Java智慧工地APP源码带AI识别

智慧工地为建筑全生命周期赋能,用创新的可视化与智能化方法,降低成本,创造价值。 一、智慧工地APP概述 智慧工地”立足于互联网,采用云计算,大数据和物联网等技术手段,针对当前建筑行业的特点,…
阅读更多...
ubuntu 安装 python

ubuntu 安装 python

ubuntu 安装 python 初环境与设备查询是否安装安装python 本篇文章将介绍ubuntu 安装 python 初 希望能写一些简单的教程和案例分享给需要的人 环境与设备 系统:ubuntu 查询是否安装 因为系统也许会自带一个python,所以验证一下,如果自…
阅读更多...
2023年国赛数学建模思路 - 案例:FPTree-频繁模式树算法

2023年国赛数学建模思路 - 案例:FPTree-频繁模式树算法

文章目录 算法介绍FP树表示法构建FP树实现代码 建模资料 ## 赛题思路 (赛题出来以后第一时间在CSDN分享) https://blog.csdn.net/dc_sinor?typeblog 算法介绍 FP-Tree算法全称是FrequentPattern Tree算法,就是频繁模式树算法&#xff0c…
阅读更多...
2021年03月 C/C++(二级)真题解析#中国电子学会#全国青少年软件编程等级考试

2021年03月 C/C++(二级)真题解析#中国电子学会#全国青少年软件编程等级考试

第1题:石头剪刀布 石头剪刀布是常见的猜拳游戏。石头胜剪刀,剪刀胜布,布胜石头。如果两个人出拳一样,则不分胜负。 一天,小A和小B正好在玩石头剪刀布。已知他们的出拳都是有周期性规律的,比如:“…
阅读更多...
拒绝摆烂!C语言练习打卡第一天

拒绝摆烂!C语言练习打卡第一天

🔥博客主页:小王又困了 📚系列专栏:每日一练 🌟人之为学,不日近则日退 ❤️感谢大家点赞👍收藏⭐评论✍️ 🗒️前言: 在前面我们学习完C语言的所以知识,当…
阅读更多...
Python爬虫 爬取图片

Python爬虫 爬取图片

在我们日常上网浏览网页的时候,经常会看到一些好看的图片,我们就希望把这些图片保存下载,或者用户用来做桌面壁纸,或者用来做设计的素材。 我们最常规的做法就是通过鼠标右键,选择另存为。但有些图片鼠标右键的时候并没…
阅读更多...
大数据分析案例-基于KMeans和DBSCAN算法对汽车行业客户进行聚类分群

大数据分析案例-基于KMeans和DBSCAN算法对汽车行业客户进行聚类分群

🤵‍♂️ 个人主页:艾派森的个人主页 ✍🏻作者简介:Python学习者 🐋 希望大家多多支持,我们一起进步!😄 如果文章对你有帮助的话, 欢迎评论 💬点赞&#x1f4…
阅读更多...
Wireshark有线网卡抓包报错The capture session could not be initiated on capture device

Wireshark有线网卡抓包报错The capture session could not be initiated on capture device

最近在使用Wireshark进行抓包排错时,选择网卡后提示报错,在此之前从未出现过,报错内容如下: 提示内容是The capture session could not be initiated on capture device,无法在捕获设备上启动捕获会话要求操作是Please…
阅读更多...
Python—行命令搭建HTTP服务器并外网访问本地SQL Server数据库【无公网IP内网穿透】

Python—行命令搭建HTTP服务器并外网访问本地SQL Server数据库【无公网IP内网穿透】

在强者的眼中,没有最好,只有更好。我们是移动开发领域的优质创作者,同时也是阿里云专家博主。 ✨ 关注我们的主页,探索iOS开发的无限可能! 🔥我们与您分享最新的技术洞察和实战经验,助您在移动…
阅读更多...
Java课题笔记~ JSTL

Java课题笔记~ JSTL

使用EL表达式已经实现了页面输出显示的优化,为什么还需要使用JSTL呢? 这是因为使用EL表达式无法实现逻辑处理,如循环、条件判断等,因此还需要与Java代码混合使用,而JSTL则可以实现逻辑控制,从而进一步优化…
阅读更多...
css实现文字首行缩进的效果

css实现文字首行缩进的效果

<div class"content"><p>站在徐汇滨江西岸智塔45楼&#xff0c;波光粼粼的黄浦江一览无余。近处&#xff0c;是由龙华机场储油罐改造而来的油罐艺术中心和阿里巴巴上海总部办公处。远处&#xff0c;历史悠久的龙华塔挺拔秀丽&#xff0c;总投资逾600亿元…
阅读更多...
提高 After Effects 效率的 40 个最佳快捷键

提高 After Effects 效率的 40 个最佳快捷键

After Effects 是运动图形和视觉效果的强大工具&#xff0c;但它也可能让人不知所措。拥有如此多的特性和功能&#xff0c;很容易让人迷失在软件中。但是&#xff0c;有一种方法可以简化您的工作流程并提高工作效率 - 使用键盘快捷键。 After Effects素材文件巨大、占用电脑内…
阅读更多...
腾讯云服务器镜像操作系统大全_Linux_Windows清单

腾讯云服务器镜像操作系统大全_Linux_Windows清单

腾讯云CVM服务器的公共镜像是由腾讯云官方提供的镜像&#xff0c;公共镜像包含基础操作系统和腾讯云提供的初始化组件&#xff0c;公共镜像分为Windows和Linux两大类操作系统&#xff0c;如TencentOS Server、Windows Server、OpenCloudOS、CentOS Stream、CentOS、Ubuntu、Deb…
阅读更多...
解决macOS执行fastboot找不到设备的问题

解决macOS执行fastboot找不到设备的问题

背景 最近准备给我的备用机Redmi Note 11 5G刷个类原生的三方ROM&#xff0c;MIUI实在是用腻了。搜罗了一番&#xff0c;在XDA上找到了一个基于Pixel Experience开发的ROM&#xff1a;PixelExperience Plus for Redmi Note 11T/11S 5G/11 5G/POCO M4 Pro 5G (everpal)&#xf…
阅读更多...
oracle12C的概念及安装和卸

oracle12C的概念及安装和卸

一. 数据库的引入 以前将数据用变量、数组、对象存在内存&#xff0c;而内存只能短暂存储数据。如果我们想长久存数据用文件将数据存在磁盘上&#xff0c;不方便存取和管理数据&#xff0c;因此可以使用数据库来存数据。 二. 数据库基础概念 2.1 数据库(database,简称DB) 以…
阅读更多...
sql高频面试题-去除最高最低的平均

sql高频面试题-去除最高最低的平均

面试或者笔试的过程中会设定各种各样的场景&#xff0c;在这些场景下考查我们SQL的查询能力&#xff0c;但是万变不离其宗&#xff0c;业务场景只是一个表现形式&#xff0c;抽象为SQL问题后其实基本上就是几类问题&#xff1a;计算累计、连续&#xff0c;分类TopN等。只要掌握…
阅读更多...
最新文章
推荐文章

Copyright @ 2022~2023