OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。
针对 NPM 、PyPI 仓库,共监测到 115 个不同版本的毒组件。
1. JeecgBoot 远程代码执行漏洞
JeecgBoot 是一款开源的的低代码开发平台,截至2023年8月14日具有35.5k star。
JeecgBoot v3.0 至 v3.5.3 版本中存在远程代码执行漏洞,攻击者无需授权可远程执行任意代码。
目前墨菲安全已复现两种利用方式,由于官方尚未发布补丁,建议开发者避免将 JeecgBoot 对外暴露缓解此漏洞。
2. 企业微信私有化后台API未授权访问漏洞
企业微信私有化2.5.x版本及2.6.930000版本以下后台中存在接口未授权访问漏洞,攻击者可利用该漏洞获取企业通讯录等敏感信息及企业微信内应用权限。
建议及时更新漏洞补丁:https://doc.weixin.qq.com/doc/w3_AHMA2gaDACcx2VCiMOwRo2yoAWiVM,或将企业微信私有化升级至 2.6.930000 及以上版本。
3. WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)
WPS Office软件是由金山办公软件股份有限公司自主研发的一款办公软件套装。
受影响版本中,WPS Office 中嵌入的浏览器域名白名单机制存在设计缺陷。攻击者可以利用此漏洞创建恶意文件。
受害者打开文件并点击带有超链接的图片或对象后,可能将远程服务器上的恶意代码下载到指定目录下并执行。
参考链接:https://www.oscs1024.com/hd/MPS-3pcb-l4mv
4. Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)
Microsoft Exchange Server 是微软公司开发的一款邮件服务器。
Microsoft Exchange Server 受影响版本中,具有普通用户权限(Exchange 用户凭据)的攻击者可能在同一内网环境中攻击Exchange服务,远程执行任意代码。
由于2023年8月补丁在非英文版本中存在问题,建议通过应用针对CVE-2023-21709提供的脚本缓解修复该漏洞。(https://aka.ms/CVE-2023-21709ScriptDoc)
参考链接:https://www.oscs1024.com/hd/MPS-8ld7-492x
5. Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)
Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。
在 Smartbi 受影响版本中存在Token回调地址漏洞,未授权的攻击者可以通过向目标系统发送POST请求/smartbix/api/monitor/setAddress接口,将address参数设为攻击者可控的服务器地址,获取管理员token信息,从而以管理员权限接管后台。
参考链接:https://www.oscs1024.com/hd/MPS-exyg-uhi8
*查看漏洞详情页,支持免费检测项目中使用了哪些有缺陷的第三方组件
OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。
本周新发现 115 个不同版本的恶意组件:
Python URL 解析缺陷可能导致命令执行攻击
https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm
