本周Apache Spark、Xalan和Redis曝出严重安全漏洞。Apache Spark存在shell命令注入风险,Apache Xalan有整数截断漏洞,Redis 7.0.0-7.0.3版本的XAUTOCLAIM命令可引发堆溢出。此外,NPM仓库监测到多次投毒事件,多数旨在获取主机敏感信息。
本周安全态势综述
OSCS社区共收录安全漏洞26个,值得关注的是Apache Spark UI shell 命令注入漏洞(CVE-2022-33891),Apache Xalan 存在整数截断漏洞(CVE-2022-34169和Redis XAUTOCLAIM 命令存在堆溢出漏洞(CVE-2022-31144)。
针对NPM仓库,共监测到6次投毒事件,涉及119个不同版本的NPM组件,投毒组件中绝大多数行为是尝试获取主机敏感信息。
重要安全漏洞列表
Apache Spark UI shell 命令注入漏洞(CVE-2022-33891)
Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。
如果Apache Spark UI启用了 ACL,则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户能够访问权限检查功能,根据他们的输入构建一个 Unix shell 命令并执行。攻击者可利用此漏洞任意执行shell 命令。
参考链接:https://www.oscs1024.com/hd/MPS-2022-19085
Apache Xalan 存在整数截断漏洞,组件已不再维护(CVE-2022-34169)
Xalan是Apache的开源软件库,Xalan的主要功能是将 X
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
