OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见:https://www.oscs1024.com/?src=wx
7月6日,OSCS监测到Apache基金会旗下多个项目漏洞公开,这些漏洞可允许未授权攻击者进行远程代码 (opens new window)执行、未授权访问网络等。鉴于这些漏洞危害较大且部分 POC 已公开,建议用户尽快自查修复。
# 漏洞描述
# Apache Portals Jetspeed-2(CVE-2022-32533)
Apache Portals Jetspeed-2 未安全处理用户输入,导致了包括 XSS、CSRF、XXE 和 SSRF 在内的许多问题。
漏洞影响等级:中危
利用成本:低
受影响组件:org.apache.portals.jetspeed-2:jetspeed-2
影响版本:[*,2.3.1],官方已不再维护,无修复版本
CVE编号:CVE-2022-32533
以 XSS 为例,注册的用户名设置为<script>alert(1)</script>时,注册登录后每次加载用户名都会触发弹窗,配置“xss.filter.post = true”可以缓解风险。
但官方表示 Apache Portals Jetspeed-2 是 Apache Portals 中不再维护的项目,不会提供更新,OSCS建议开发者进行替换。
# Apache Commons Configuration(CVE-2022-33980)
Apache Commons Configuration是用于管理配置文件的组件,在2.8以前的部分版本中支持了多种变量取值方式,包括javax.script、dns和url,导致可以执行任意代码或进行网络访问。
漏洞影响等级:中危
利用成本:高
受影响组件:org.apache.commons:commons-configuration2
影响版本:[2.4,2.8.0),官方已经在2.8.0版本通过禁用危险方法修复此问题
CVE编号:CVE-2022-33980
形如${prefix:name}的字符串可以被解析,当interpolate操作的字符串可控时,漏洞可以被利用,支持的prefix如下图。
在如下的代码中可以触发
# Apache Superset(CVE-2021-37839)
Apache Superset 是一个数据可视化和数据探索平台。
在Apache Superset 受影响版本中,经过身份验证的用户可以未授权访问数据集相关的元数据信息,包括数据集名称、列和指标。
漏洞影响等级:中危
利用成本:中
受影响组件:apache-superset
影响版本:[*,1.5.1),官方已经在1.5.1版本修复此问题
CVE编号:CVE-2021-37839
# 处置建议
OSCS 建议使用以上组件用户根据以上风险提示,尽快修复至安全版本。
更多信息查看:
https://www.oscs1024.com/hl
# 参考链接
https://www.oscs1024.com/hd/MPS-2022-19214/?src=wx
https://nvd.nist.gov/vuln/detail/CVE-2022-33980
https://www.oscs1024.com/hd/MPS-2022-17607/?src=wx
https://nvd.nist.gov/vuln/detail/CVE-2022-32533
https://www.oscs1024.com/hd/MPS-2021-28604/?src=wx
https://nvd.nist.gov/vuln/detail/CVE-2021-37839