OSCS开源安全周刊第11期:本月微软补丁日修复vscode漏洞。请开发者注意自己使用的vscode是否受该漏洞影响。重点关注golangnet/url路径遍历漏洞(CVE-2022-32190)、VisualStudioCode<1.71.1提权漏洞(CVE-2022-38020)、gophish/gophish<0.12.0存在开放重定向漏洞(CVE-2022)-25295)。针对NPM和PyPI仓库,共检测到4起中毒事件,涉及92个不同版本的NPM和PyPI组件。中毒组件的大部分行为都是试图获取宿主的敏感信息。重要安全漏洞列表golangnet/url路径遍历漏洞(CVE-2022-32190)golang的net/url组件实现URL解析和查询转义。golangnet/ur存在路径遍历漏洞。该漏洞源于net/url的JoinPath函数没有删除追加的相对路径中的../元素。攻击者可能利用此漏洞访问系统敏感文件。参考链接:https://www.oscs1024.com/hd/MPS-2022-17132VisualStudioCode<1.71.1权限提升漏洞(CVE-2022-38020)VisualStudioCode是一个代码编辑器。VisualStudioCodev1.71.0及更早版本存在提权漏洞。该漏洞源于VisualStudioCode加载配置文件时,自动加载Windows共享用户在特殊目录下创建的bash.exe文件。在Windows上,低权限攻击者可以在特殊路径中创建和覆盖bash.exe。VisualStudioCode检测到的配置文件会显示在终端配置文件列表中,可能导致恶意文件的执行。参考链接:https://www.oscs1024.com/hd/MPS-2022-53948gophish/gophish<0.12.0有一个开放的重定向漏洞(CVE-2022-25295)Gophish是一款为企业和渗透测试人员设计的开源软件网络钓鱼套件。此软件包的受影响版本容易受到OpenRedirect的攻击。下一个查询参数中存在OpenRedirect漏洞。应用程序使用url.Parse(r.FormValue("next"))提取路径并最终将用户重定向到相对URL。攻击者可以成功发起网络钓鱼诈骗并窃取用户凭据。参考链接:https://www.oscs1024.com/hd/MPS-2022-4362*查看漏洞详情页面,支持免费检测项目中使用了哪些有缺陷的第三方组件中毒风险监控OSCS针对NPM和PyPIwarehouses监测到的恶意组件数量如下图所示。本周共发现92个不同版本的恶意组件,其中100%为:获取主机敏感信息(获取主机的用户名、IP等敏感信息发送给恶意服务器)其他信息黑客入侵Magento供应链攻击的软件提供商https://www.bleepingcomputer....信息订阅OSCS(OpenSourceSoftwareSupplyChainSecurityCommunity)以最快最全面的方式发布开源项目的最新安全风险趋势,包括开源组件安全漏洞、事件和其他信息。同时提供漏洞和中毒情报免费订阅服务。社区用户可以通过配置飞书、钉钉、企业微信机器人,及时获取第一手情报信息:https://www.oscs1024.com/?src=sf具体订阅详见:https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf
