OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞

最新推荐文章于 2025-06-07 17:03:33 发布
最新推荐文章于 2025-06-07 17:03:33 发布
阅读量2.6k 收藏 29
点赞数 20
文章标签: 开源 安全 apache dubbo spark 大数据 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cc123489ll/article/details/140060429
版权

本周安全态势综述

OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL
验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark
Provider 任意文件读取漏洞(CVE-2023-40272)。

针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive
等携带远控木马,该系列的组件包具有持续性威胁行为 。

重要安全漏洞列表

1. Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)
Apache NiFi 是一个开源的数据流处理和自动化工具。
在受影响版本中,由于多个Processors和Controller Services在配置JDBC和JNDI
JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL,导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证,可能造成数据泄露等危害。
参考链接:https://www.oscs1024.com/hd/MPS-0378-t16x

2. PowerJob 未授权访问漏洞(CVE-2023-36106)
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问
/container

最低0.47元/天 解锁文章
未授权漏洞PowerJob未授权访问漏洞(CVE-2023-29922)
李火火的安全圈
06-11 2952
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。受影响版本中由于 JobController#listJobs 方法未对用户身份进行校验,攻击者可通过向 /job/list 接口发送POST请求,指定 appId 参数即可列出对应的正在运行的任务列表以及它们的状态信息。
OSCS开源安全周报第23:Foxit PDF Reader/Editor 任意代码执行漏洞
OSCS开源安全社区
12-26 709
OSCS 社区共收录安全漏洞10个,其中公开漏洞值得关注的是针对 NPM 、PyPI 仓库,共监测到 25 个不同版本的 NPM 、PyPI 投毒组件,投毒组件都在尝试获取主机敏感信息;在多个不同名称的 PyPI 包中发现 W4SP 窃取器。Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2641
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
PowerJob 未授权访问漏洞
afeng12345678的博客
07-31 933
PowerJob存在未授权访问漏洞,该漏洞源于powerjob-server\powerjob-server-starter\src\main\java\tech\powerjob\server\web\controller路径下的全部Controller层的Restful接口均未添加访问控制,导致攻击者无需身份认证即可获取系统敏感信息。
PowerJob 未授权访问导致命令执行漏洞
afeng12345678的博客
07-31 1643
PowerJob的官方推荐组件powerjob-official-processors中存在命令执行漏洞,攻击者可未授权加载恶意shell脚本执行系统命令。
【中危】PowerJob 未授权访问漏洞CVE-2023-36106
OSCS开源安全社区
08-22 669
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。在 PowerJob 受影响版本中存在错误的访问控制漏洞。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
CVE-2023-37754 PowerJob 未授权访问导致远程代码执行漏洞
afeng12345678的博客
07-31 2634
PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权,4.3.3 及之前版本中,未经授权的攻击者可构造恶意的数据包远程执行任意代码。
未授权访问漏洞
saber的博客
10-29 1495
探讨了未授权访问漏洞的概念及其分类,强调了该漏洞类型在网络安全中的重要性。未授权访问漏洞指的是攻击者在未经认证或授权的情况下,能够访问到特定的系统或应用功能。这种漏洞不仅包括可以直接访问的URL,还包括可以通过操作cookie或使用特定参数(如user_id)来间接访问漏洞
OSCS开源安全周报第 55 :JeecgBoot 远程代码执行漏洞
murphysec的博客
08-14 967
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。
OSCS开源安全周报第13:Exchange 高危漏洞公开
OSCS开源安全社区
10-10 4031
OSCS 社区共收录安全漏洞31个,公开漏洞值得关注的是 Apache Commons JXPath 存在代码执行漏洞CVE-2022-41852),Microsoft Exchange 远程代码执行漏洞(ProxyNotShell(CVE-2022-41040),Apache Tomcat 条件竞争漏洞CVE-2021-43980),FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞CVE-2022-42003)。
OSCS开源软件供应链安全社区上线,携手开源社区共同提升开源安全质量
OSCS开源安全社区
05-23 1025
现如今,开发者们使用开源代码来构建软件几乎不可避免。但所有这些外部引入的依赖都可能带来额外的软件安全风险。 调研报告显示,84% 代码库至少存在一个开源组件安全漏洞,其中平均每个代码库存在 158 个开源组件漏洞,65% 的代码库存在许可冲突,发现的漏洞平均是已存在 2.2 年。开源软件存在如此多的安全漏洞,这对于应用开源软件的企业和个人来讲,都是巨大的安全隐患。 事实上,大家也都在努力保护他们的开源软件供应链安全,但是,又面临一个问题,他们甚至都不知道他们的软件使用了哪些开源组件,其中又包含了哪些代码
深度剖析 DeepSeek 开源模型部署与应用:策略、权衡与未来走向
06-04 928
分析 DeepSeek 开源模型的自建部署与 API 接入方案,指出自建模式在长成本、数据安全、定制能力和服务稳定性上具优势,但面临高初始投入与技术门槛;API 接入则胜在快速上线、低运维和弹性付费,却存在长成本高与定制受限问题。此外,混合架构可平衡两者优势,企业需结合业务规模、数据安全、技术能力等维度决策,展望未来技术演进对部署模式的影响。
本地主机部署开源企业云盘Seafile并实现外部访问
最新发布
csghdn的博客
06-07 585
2、在nat123客户端主界面,进入“添加映射”,此时可查看到对应的详细编辑映射信息,此时要先选中应用类型选择(如80、非80网站、443、同端口映射等),再对应自定义内网地址(本地Seafile访问地址)和填写外网地址(自己域名或自动生成的免费二级域名)。访问服务器的 Web 界面 (打开 http://<您的 IP 地址>:8000),用管理员账号登录,点击左上角的扳手图标,进入管理员界面,在进入”设置”标签。此时,您应该注意到 Seafile 服务器的图标已经出现在您的系统托盘中。
腾讯 ovCompose 开源,Kuikly 鸿蒙和 Compose DSL 开源,腾讯的“双”鸿蒙方案发布
恋猫de小郭的博客
06-03 1423
近日,腾讯的 ovCompose 和 Kuikly 都发布了全新开源更新,其中,而 ovCompose 是腾讯视频团队基于 Compose Multiplatform 生态推出的跨平台开发框架,那可能有人要问了,这两者有什么关系?首先它们都是属于腾讯大前端领域 Oteam ,并且 ovCompose 和 Kuikly 都依赖于 KuiklyBase ,。
打造你的 Android 图像编辑器:深入解析 PhotoEditor 开源
2501_90357013的博客
06-06 1538
PhotoEditor 是一款专为 Android 开发的图像编辑开源库,提供类似 Instagram 的编辑体验。主要功能包括绘图、添加文本/贴纸/表情、滤镜效果等,支持手势缩放、撤销重做等操作。
FreeCAD:开源世界的三维建模利器
极客BIM工作室
06-04 1529
FreeCAD的开发采用多语言协作模式,其核心框架与高性能模块主要使用C++构建,而用户界面与扩展功能则通过Python脚本实现灵活定制。:作为基础架构,C++负责实现与Open CASCADE Technology(OCCT)几何内核的深度交互,处理NURBS曲面计算、布尔运算等高性能需求,并构建参数化建模的底层逻辑。这部分代码确保了FreeCAD在复杂工程场景下的稳定性与运算效率。
开源程序opensourcecaptchasolver:赚取积分的新途径
3. 下载与运行:用户可以通过下载开源文件OpenSourceCaptchaSolver.zip并解压来获取opensourcecaptchasolver。解压后,用户可以使用linux系统上的opensourcecaptchasolver.sh脚本,或者在Windows和Mac系统上使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值