本周安全态势概览OSCS社区一共收录了33个安全漏洞。公开的漏洞值得注意,ApacheFlume存在JNDI注入漏洞(CVE-2022-34916),ApacheAirflowDockerProvider<3.0存在远程代码执行漏洞(CVE-2022-38362),ApacheActiveMQArtemis存在HTML漏洞注射(CVE-2022-35278)。针对NPM仓库,共检测到5起中毒事件,涉及36个不同版本的NPM组件。大多数中毒组件都试图获取敏感的主机信息。严重安全漏洞列表ApacheFlume存在JNDI注入漏洞(CVE-2022-34916)ApacheFlume是一种分布式、可靠且可用的服务,用于高效地收集、聚合和移动大量日志数据。由于配置不当,ApacheFlume漏洞版本存在JNDI注入漏洞,可被攻击者利用远程代码执行。参考链接:https://www.oscs1024.com/hd/M...ApacheAirflowDockerProvider<3.0存在远程代码执行漏洞(CVE-2022-38362)ApacheAirflowDocker是一个创建、管理和监控的工具工作流程的开源平台。受影响的版本中存在远程命令执行漏洞。攻击者可以利用该漏洞获取隐私数据,甚至接管服务器。参考链接:https://www.oscs1024.com/hd/M...ApacheActiveMQArtemis存在HTML注入漏洞(CVE-2022-35278)。ApacheActiveMQ是用Java编写的开源消息代理和完整的Java消息服务(JMS)客户端。ApacheActiveMQArtemis的易受攻击版本具有HTML注入漏洞。通过在地址或队列名称中使用HTML,攻击者可以在Web控制台中显示恶意内容或将用户请求重定向到恶意URL。参考链接:https://www.oscs1024.com/hd/M...中毒风险监测OSCS监测到的NPM仓库恶意组件数量如下,NPM仓库仍然是主要的中毒目标。本周新发现36个不同版本的恶意组件,100%中毒的组件为:获取主机敏感信息(获取主机用户名、IP等敏感信息)其他信息微软员工暴露公司内部信息github上登录信息https://www.vice.com/en/article/m7gb43/microsoft-employees-exposed-login-credentials-azure-github情报订阅OSCS(开源软件供应链安全社区)通过最快最综合方式,发布开源项目最新安全风险趋势,包括开源组件安全漏洞、事件等信息。同时提供漏洞和中毒情报免费订阅服务。社区用户可以通过配置飞书、钉钉、企业微信机器人,及时获取第一手情报信息:https://www.oscs1024.com/?src=sf具体订阅详见:https://www.oscs1024.com/docs/vuln-warning/intro/?src=sf
