本周安全态势概览OSCS社区一共收录了48个安全漏洞,其中包括2个独家漏洞,值得关注的公开漏洞有AdobePremiereElements权限提升漏洞(CVE-2022-34235)、ApacheTrafficServer请求走私漏洞(CVE-2022-31780)、Zammad权限提升漏洞(CVE-2022-35490).针对NPM和Python仓库,共检测到5起中毒事件,涉及81个不同版本的NPM和Python组件。中毒组件的大部分行为是试图获取敏感的主机信息。重要安全漏洞列表Adob??ePremiereElements特权提升漏洞(CVE-2022-34235)Adob??ePremiereElements是Adob??eSystems发布的视频编辑软件应用程序。在AdobePremiereElements2020v20及更早版本中,普通用户可能会因搜索路径元素验证不完整而获得管理员权限。参考链接:https://www.oscs1024.com/hd/M...ApacheTrafficServerRequestSmugglingVulnerability(CVE-2022-31780)ApacheTrafficServer(ATS)是一个模块化、高性能的反向代理和转发到代理服务器。ApacheTrafficServer的HTTP/2帧处理中存在不正确的输入验证漏洞,允许攻击者走私http请求。参考链接:https://www.oscs1024.com/hd/M...Zammad权限提升漏洞(CVE-2022-35490)Zammad是一种基于Web的用户支持/票务解决方案。Zammad版本5.2.0中存在提权漏洞。经过可配置的尝试次数后,用户到期并被阻止登录。攻击者可以在用户失效发生前发送超过配置次数的请求进行枚举,从而达到提升用户权限的目的。参考链接:https://www.oscs1024.com/hd/M...中毒风险监控OSCS对NPM和Python仓库监控的恶意组件数量如下。平均每天发现11个恶意包,其中NPM仓库仍是主要中毒目标,Python仓库恶意组件数量较之前有所减少。本周新发现81个不同版本的恶意组件,其中99%为中毒组件:获取主机敏感信息(获取主机用户名、IP等敏感信息)1%中毒组件为:获取主机权限(窃取通过反射外壳连接到用户的主机)其他信息软件供应链通过新的加密努力赢得了安全胜利https://www.darkreading.com/a...情报订阅OSCS(开源软件供应链SecurityCommunity)通过最快、最全面的方式发布开源项目最新安全风险趋势,包括开源组件安全漏洞、事件等信息。同时提供漏洞和中毒情报免费订阅服务。社区用户可以通过配置飞书、钉钉、企业微信机器人,及时获取第一手情报信息:https://www.oscs1024.com/?src=sf具体订阅详见:https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf
