本周安全态势综述

OSCS 社区共收录安全漏洞 8 个，公开漏洞值得关注的是 Wordpress 中 Build App Online 插件存在 SQL 注入漏洞（CVE-2022-3241）,Apache Tomcat 存在 JsonErrorReportValve 注入漏洞（CVE-2022-45143）,禅道研发项目管理系统命令注入漏洞（MPS-2023-0418）,Apache James MIME4J 敏感信息泄露漏洞（ CVE-2022-45787）。

针对 NPM 、PyPI 仓库，共监测到 22 个不同版本的 NPM 、PyPI 投毒组件。

重要安全漏洞列表

1、Wordpress中Build App Online插件存在SQl注入漏洞（CVE-2022-3241）

Wordpress 中Build App Online插件主要功能是为woocommerce创建和运行移动应用程序。

WordPress插件Build App Online在1.0.19之前版本中未经身份验证的用户在进行AJAX操作时由于在SQL语句中使用指定参数（vendor、reviews_vendor、orderby等）未对其进行清理和转义，从而导致SQL注入漏洞。攻击者可利用此漏洞获取插件所在服务器的数据库敏感信息，甚至getshell。

参考链接：https://www.oscs1024.com/hd/MPS-2022-57489 (opens new window)

2、Apache Tomcat 存在 JsonErrorReportValve 注入漏洞（CVE-2022-45143）

Tomcat 是由 Apache 软件基金会下属的 Jakarta 项目开发的一个 Servlet 容器，实现了对 Servlet 和 JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能，如 Tomcat 管理和控制平台、安全域管理和 Tomcat Valve等。

Tomcat 受影响版本中的 JsonErrorReportValve 类由于未对用户可控的类型（type）、消息（message）或描述（description）值进行转义，在 Tomcat 处理用户请求时，如果调用序列中的 Valve 时响应状态码大于或等于400，或者引发了未捕获的异常，则会将攻击者请求数据输出到 tomcat 打印的错误报告中。攻击者可利用此漏洞将恶意数据注入到 tomcat 的输出报告中，或导致输出报告中的 json 输出无效。

参考链接：https://www.oscs1024.com/hd/MPS-2022-64112 (opens new window)

3、禅道研发项目管理系统命令注入漏洞（MPS-2023-0418）

禅道是一款国产开源项目管理软件。

禅道研发项目管理系统存在系统命令注入漏洞，具有后台登陆权限的攻击者可以利用此漏洞执行任意命令，进而控制服务器。

参考链接：https://www.oscs1024.com/hd/MPS-2023-0418 (opens new window)

4、Apache James MIME4J 敏感信息泄露漏洞（ CVE-2022-45787）

Apache James MIME4J 是一个用于解析纯RFC822和MIME格式的电子邮件消息流并构建电子邮件信息树表示的项目。

Apache James MIME4J 受影响版本中的 TempFileStorageProvider 类生成的临时文件由于读取权限设置不当，能够被系统本地用户读取，导致邮件相关敏感数据被泄露。

参考链接：https://www.oscs1024.com/hd/MPS-2022-65097 (opens new window)

投毒风险监测

OSCS针对 NPM 、PyPI仓库监测的恶意组件数量如下所示。

本周新发现 22 个不同版本的恶意组件:

100%的投毒组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息发送给恶意服务器）。

其他资讯

1、npm 包 chalk-next 被开发者投毒，源码 SRC 目录被删除。

https://mp.weixin.qq.com/s/I7NVj7KKqUyQF9EWZKBKoQ (opens new window)