写点什么

OSCS 开源安全周报第 55 期:JeecgBoot 远程代码执行漏洞

作者:墨菲安全
  • 2023-08-14
    北京
  • 本文字数:1559 字

    阅读完需:约 5 分钟

OSCS开源安全周报第 55 期:JeecgBoot 远程代码执行漏洞

本周安全态势综述

OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台 API 未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi 未授权设置 Token 回调地址获取管理员权限(MPS-exyg-uhi8)。

针对 NPM 、PyPI 仓库,共监测到 115 个不同版本的毒组件。

重要安全漏洞列表

1、JeecgBoot 远程代码执行漏洞

JeecgBoot 是一款开源的的低代码开发平台,截至 2023 年 8 月 14 日具有 35.5k star。

JeecgBoot v3.0 至 v3.5.3 版本中存在远程代码执行漏洞,攻击者无需授权可远程执行任意代码。

目前墨菲安全已复现两种利用方式,由于官方尚未发布补丁,建议开发者避免将 JeecgBoot 对外暴露缓解此漏洞。


2、企业微信私有化后台 API 未授权访问漏洞

企业微信私有化 2.5.x 版本及 2.6.930000 版本以下后台中存在接口未授权访问漏洞,攻击者可利用该漏洞获取企业通讯录等敏感信息及企业微信内应用权限。

建议及时更新漏洞补丁:https://doc.weixin.qq.com/doc/w3_AHMA2gaDACcx2VCiMOwRo2yoAWiVM,或将企业微信私有化升级至 2.6.930000 及以上版本。


3、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)

WPS Office 软件是由金山办公软件股份有限公司自主研发的一款办公软件套装。

受影响版本中,WPS Office 中嵌入的浏览器域名白名单机制存在设计缺陷。攻击者可以利用此漏洞创建恶意文件。

受害者打开文件并点击带有超链接的图片或对象后,可能将远程服务器上的恶意代码下载到指定目录下并执行。

参考链接:https://www.oscs1024.com/hd/MPS-3pcb-l4mv


4、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)

Microsoft Exchange Server 是微软公司开发的一款邮件服务器。

Microsoft Exchange Server 受影响版本中,具有普通用户权限(Exchange 用户凭据)的攻击者可能在同一内网环境中攻击 Exchange 服务,远程执行任意代码。

由于 2023 年 8 月补丁在非英文版本中存在问题,建议通过应用针对 CVE-2023-21709 提供的脚本缓解修复该漏洞。(https://aka.ms/CVE-2023-21709ScriptDoc

参考链接:https://www.oscs1024.com/hd/MPS-8ld7-492x


5、Smartbi 未授权设置 Token 回调地址获取管理员权限(MPS-exyg-uhi8)

Smartbi 是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。

在 Smartbi 受影响版本中存在 Token 回调地址漏洞,未授权的攻击者可以通过向目标系统发送 POST 请求/smartbix/api/monitor/setAddress 接口,将 address 参数设为攻击者可控的服务器地址,获取管理员 token 信息,从而以管理员权限接管后台。

参考链接:https://www.oscs1024.com/hd/MPS-exyg-uhi8


*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。

本周新发现 115 个不同版本的恶意组件:

  • 64%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)

  • 8%的投毒组件为:安装探测

  • 14%的投毒组件为:获取用户敏感信息(如账户密码、钱包地址、浏览器 Cookie 等)

  • 14%的投毒组件为:安装木马后门文件

其他资讯

Python URL 解析缺陷可能导致命令执行攻击

https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/#%E6%83%85%E6%8A%A5%E7%B1%BB%E5%9E%8B%E5%92%8C%E6%8E%A8%E9%80%81%E5%86%85%E5%AE%B9


发布于: 刚刚阅读数: 4
用户头像

墨菲安全

关注

还未添加个人签名 2022-03-23 加入

还未添加个人简介

评论

发布
暂无评论
OSCS开源安全周报第 55 期:JeecgBoot 远程代码执行漏洞_网络安全_墨菲安全_InfoQ写作社区