写点什么

OSCS 开源安全周报第 11 期:本月微软补丁日修复 vscode 漏洞,请开发者留意自己使用的 vscode 是否受该漏洞影响

作者:墨菲安全
  • 2022 年 9 月 19 日
    北京
  • 本文字数:1127 字

    阅读完需:约 4 分钟

本周安全态势综述

OSCS 社区共收录安全漏洞 27 个,公开漏洞值得关注的是 golang net/url 路径穿越漏洞(CVE-2022-32190),Visual Studio Code <1.71.1 权限提升漏洞(CVE-2022-38020),gophish/gophish < 0.12.0 存在打开重定向漏洞(CVE-2022-25295)。


针对 NPM 、PyPI 仓库,共监测到 4 次投毒事件,涉及 92 个不同版本的 NPM 、PyPI 组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。


重要安全漏洞列表

  1. golang net/url 路径穿越漏洞(CVE-2022-32190)

golang 的组件 net/url 实现了 URL 的解析处理和查询转义。

golang net/ur 存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素,攻击者可能利用该漏洞访问系统敏感文件。

参考链接:https://www.oscs1024.com/hd/MPS-2022-17132


  1. Visual Studio Code <1.71.1 权限提升漏洞(CVE-2022-38020)

Visual Studio Code 是一款代码编辑器。

Visual Studio Code v1.71.0 及更早版本中存在权限提升漏洞,漏洞源于 Visual Studio Code 加载配置文件时会自动加载 windows 共享用户在特殊目录创建的文件 bash.exe。

在 Windows 上,低特权攻击者可以在特殊路径创建并覆盖 bash.exe。Visual Studio Code 检测到的配置文件会显示在终端配置文件列表中,可能导致恶意文件执行。

参考链接:https://www.oscs1024.com/hd/MPS-2022-53948


  1. gophish/gophish < 0.12.0 存在打开重定向漏洞(CVE-2022-25295)

Gophish 是一个为企业和渗透测试人员设计的开源网络钓鱼工具包。

此软件包的受影响版本容易受到 Open Redirect 的攻击。next 查询参数中存在 Open Redirect 漏洞。应用程序用于 url.Parse(r.FormValue("next"))提取路径并最终将用户重定向到相对 URL。

攻击者可能会成功发起网络钓鱼诈骗并窃取用户凭据。

参考链接:https://www.oscs1024.com/hd/MPS-2022-4362


*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件


投毒风险监测

OSCS 针对 NPM 、PyPI 仓库监测的恶意组件数量如下所示。


  • 本周新发现 92 个不同版本的恶意组件,其中

  • 100%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息发送给恶意服务器)


其他资讯

黑客入侵 Magento 供应链攻击的软件供应商

https://www.bleepingcomputer.com/news/security/hackers-breach-software-vendor-for-magento-supply-chain-attacks/


情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=infoq


具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=infoq



用户头像

墨菲安全

关注

还未添加个人签名 2022.03.23 加入

还未添加个人简介

评论

发布
暂无评论
OSCS开源安全周报第11期:本月微软补丁日修复 vscode 漏洞,请开发者留意自己使用的 vscode 是否受该漏洞影响_golang_墨菲安全_InfoQ写作社区