软件供应链安全2022年回顾
社区首页 (3097)
我加入的社区
我管理的社区
官方推荐社区
76
其他社区
3097
请编写您的帖子内容
社区频道(5)
显示侧栏
卡片版式
全部
交流讨论
漏洞情报
博文收录
Ada助手
最新发布
最新回复
标题
阅读量
内容评分
精选
58
评分
回复
软件供应链安全2022年回顾
Gartner认为软件供应链攻击是2022年的主要的威胁来源,有人将2022年称为软件供应链安全元年,是新上任CIO的首要工作,越来越多开发者、安全研究人员在关注软件供应链安全。我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点,来对软件供应链安全这一领域进行回顾。可以看到:新出现的漏洞和开源组件的数量都在增长中国有6个针对特定行业的信息安全管理法规中涉及软件供应链,软件供应链安全的标准与指南在加速,美国、新加坡、欧盟、英国也相继发布了软件供应链安全建设计划、指南。
复制链接 扫一扫
分享
67
评分
回复
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
1.1.4 之前版本的 Apache Sling 中的 cms.js#confirmMessage 方法未对用户可控的 `title` 和 `message` 参数进行过滤,攻击者可将精心构造的 js 代码注入到 startcontent.jsp 页面的 `recentContent` 参数中,当用户访问该页面时远程执行恶意 javascript 代码。该漏洞已存在 POC。
复制链接 扫一扫
分享
68
评分
回复
JsonWebToken远程代码执行漏洞(CVE-2022-23529)
在JsonWebToken
复制链接 扫一扫
分享
71
评分
回复
Mercurius <11.5.0 存在拒绝服务漏洞(CVE-2023-22477)
11.5.0 之前版本的 Mercurius 开启“订阅”功能时,任何 Mercurius 用户都可以通过 WebSocket 向 `/graphql` 端点(如:ws://127.0.0.1:1337/graphql)发送格式错误的数据包,从而造成 Mercurius 拒绝服务。Mercurius 用户可禁用订阅功能缓解此漏洞。
复制链接 扫一扫
分享
64
评分
回复
GitHub Enterprise Server 存在授权不当漏洞(CVE-2022-46258)
在 GitHub Enterprise Server 的受影响版本中,由于修改 Actions workflow 文件的 api 接口没有验证用户请求中的 workflow scope,具有存储库读写访问权限(repository-scoped)的攻击者可在没有 Workflow scope 的情况下修改 Action Workflow 文件。
复制链接 扫一扫
分享
88
评分
回复
Http4s 存在输入验证不当漏洞(CVE-2023-22465)
http4s 是一个用于处理 HTTP 服务的 Scala 接口。http4s 的受影响版本延迟加载模型化标头(modeled headers),用于处理规范化标头的请求(如:Option[Header] = req.headers.get("User-Agent".ci)),当解析攻击者恶意构造的 User-Agent 或 Server 标头时如果没有规范化标头(如:Option[`User-Agent`] = req.headers.get[`User-Agent`])则会造成拒绝服务。
复制链接 扫一扫
分享
66
评分
回复
禅道研发项目管理系统命令注入漏洞(MPS-2023-0418)
禅道是一款国产开源项目管理软件。禅道研发项目管理系统存在系统命令注入漏洞,具有后台登陆权限的攻击者可以利用此漏洞执行任意命令,进而控制服务器。
复制链接 扫一扫
分享
69
评分
回复
Apache Tomcat 存在 JsonErrorReportValve 注入漏洞(CVE-2022-45143)
在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含…/的参数实现路径穿越,利用漏洞删除zeppelin相关或其他任意文件。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。
复制链接 扫一扫
分享
140
评分
回复
OSCS开源安全周报第24期:XStream 栈缓冲区溢出漏洞
本周安全态势综述 OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 XStream < 1.4.20 栈缓冲区溢出漏洞(CVE-2022-41966),Linux Kernel ksmbd模块存在任意代码执行漏洞(CVE-2022-479
复制链接 扫一扫
分享
150
评分
1
XStream < 1.4.20 栈缓冲区溢出漏洞(该漏洞已存在 POC)
漏洞描述 XStream 是一个轻量级的、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 在1.4.20之前的版本中存在栈缓冲区溢出漏洞,从而导致通过操纵已处理的输入流来造成拒绝服务。 在使用集合和映射的哈希
复制链接 扫一扫
分享
73
评分
回复
【漏洞分析】Apache ShardingSphere-Proxy <5.3.0 身份认证绕过
2022年12月22日,Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞(CVE-2022-45347)。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时,由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息,攻击者可利用未关闭的会话信息绕过 ShardingSphere-Proxy 的 MySQL 身份验证,执行任意 sql 命令。
复制链接 扫一扫
分享
62
评分
回复
作为一个研发凭什么花大量时间修安全漏洞?
距离第一篇文章过去了2个月了,最近一直在忙上产品3.0的事情,中间加上感染新冠,这篇文章前后也写了半个月,趁着这两天3.0产品大版本发布了,赶紧把这篇文章改好发出来,主要还是分享记录墨菲安全3.0产品的一些思考和心得。搜索关注公众号“航行笔记”
复制链接 扫一扫
分享
95
评分
1
Apache ShardingSphere-Proxy <5.3.0 存在身份认证绕过漏洞(该漏洞已存在POC、EXP)
漏洞描述 Apache ShardingSphere 是一款分布式的数据库生态系统,ShardingSphere-Proxy 是支持 MySQL、PostgreSQL 和 openGauss 协议的数据库代理模块。 ShardingSphere-Pr
复制链接 扫一扫
分享
164
评分
回复
OSCS开源安全周报第23期:Foxit PDF Reader/Editor 任意代码执行漏洞
本周安全态势综述 OSCS 社区共收录安全漏洞10个,其中公开漏洞值得关注的是 Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入漏洞(CVE-2022-46421) vm2 < 3.9.10 存在任意代码执
复制链接 扫一扫
分享
117
评分
1
Splunk Enterprise 存在任意代码执行漏洞(该漏洞已存在 POC)
漏洞描述 Splunk 是一款机器数据的引擎,可用于收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk 受影响版本存在任意代码执行漏洞,经过身份验证的攻击者可利用此漏洞通过创建包含恶意代码的 SimpleXML 仪
复制链接 扫一扫
分享
96
评分
1
Apache Karaf 存在远程代码执行漏洞
漏洞描述 Apache Karaf 是一个用于部署业务代码或应用程序的 modulith 运行时环境。 Apache Karaf 的受影响版本中由于 jaas.modules.src.main.java.porg.apache.karaf.jas
复制链接 扫一扫
分享
114
评分
1
Foxit PDF Reader/Editor 任意代码执行漏洞(该漏洞已存在 POC)
漏洞描述 Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。 Foxit PDF Reader/Editor 受影响版本中在对javascript对象执行操作之前未验证对象是否存在,造成内存引用处理不当,导致存在释放后重
复制链接 扫一扫
分享
117
评分
1
vm2 < 3.9.10 存在任意代码执行漏洞
漏洞描述 vm2 是一个基于 Node.js 的沙箱环境,可以使用列入白名单的 Node 内置模块运行不受信任的代码。 vm2 3.9.10之前版本中由于 WeakMap.prototype.set 方法使用原型查找从而存在任意代码执行漏洞,攻击者可
复制链接 扫一扫
分享
113
评分
1
Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入漏洞
漏洞描述 Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。 Apache Airflow H
复制链接 扫一扫
分享
为您搜索到以下结果: