Gartner认为软件供应链攻击是2022年的主要的威胁来源，有人将2022年称为软件供应链安全元年，是新上任CIO的首要工作，越来越多开发者、安全研究人员在关注软件供应链安全。我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点，来对软件供应链安全这一领域进行回顾。可以看到：新出现的漏洞和开源组件的数量都在增长中国有6个针对特定行业的信息安全管理法规中涉及软件供应链，软件供应链安全的标准与指南在加速，美国、新加坡、欧盟、英国也相继发布了软件供应链安全建设计划、指南。

1.1.4 之前版本的 Apache Sling 中的 cms.js#confirmMessage 方法未对用户可控的 `title` 和 `message` 参数进行过滤，攻击者可将精心构造的 js 代码注入到 startcontent.jsp 页面的 `recentContent` 参数中，当用户访问该页面时远程执行恶意 javascript 代码。该漏洞已存在 POC。

在JsonWebToken

11.5.0 之前版本的 Mercurius 开启“订阅”功能时，任何 Mercurius 用户都可以通过 WebSocket 向 `/graphql` 端点（如：ws://127.0.0.1:1337/graphql）发送格式错误的数据包，从而造成 Mercurius 拒绝服务。Mercurius 用户可禁用订阅功能缓解此漏洞。

在 GitHub Enterprise Server 的受影响版本中，由于修改 Actions workflow 文件的 api 接口没有验证用户请求中的 workflow scope，具有存储库读写访问权限（repository-scoped）的攻击者可在没有 Workflow scope 的情况下修改 Action Workflow 文件。

http4s 是一个用于处理 HTTP 服务的 Scala 接口。http4s 的受影响版本延迟加载模型化标头（modeled headers），用于处理规范化标头的请求（如：Option[Header] = req.headers.get("User-Agent".ci)），当解析攻击者恶意构造的 User-Agent 或 Server 标头时如果没有规范化标头（如：Option[`User-Agent`] = req.headers.get[`User-Agent`]）则会造成拒绝服务。

禅道是一款国产开源项目管理软件。禅道研发项目管理系统存在系统命令注入漏洞，具有后台登陆权限的攻击者可以利用此漏洞执行任意命令，进而控制服务器。

在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞，由于未对InterpreterSettingManager类remove方法中id参数进行正确校验，攻击者可通过构造包含…/的参数实现路径穿越，利用漏洞删除zeppelin相关或其他任意文件。OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。

本周安全态势综述 OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 XStream < 1.4.20 栈缓冲区溢出漏洞（CVE-2022-41966）,Linux Kernel ksmbd模块存在任意代码执行漏洞（CVE-2022-479

漏洞描述 XStream 是一个轻量级的、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。 在1.4.20之前的版本中存在栈缓冲区溢出漏洞，从而导致通过操纵已处理的输入流来造成拒绝服务。 在使用集合和映射的哈希

2022年12月22日，Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞（CVE-2022-45347）。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时，由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息，攻击者可利用未关闭的会话信息绕过 ShardingSphere-Proxy 的 MySQL 身份验证，执行任意 sql 命令。

距离第一篇文章过去了2个月了，最近一直在忙上产品3.0的事情，中间加上感染新冠，这篇文章前后也写了半个月，趁着这两天3.0产品大版本发布了，赶紧把这篇文章改好发出来，主要还是分享记录墨菲安全3.0产品的一些思考和心得。搜索关注公众号“航行笔记”

漏洞描述 Apache ShardingSphere 是一款分布式的数据库生态系统，ShardingSphere-Proxy 是支持 MySQL、PostgreSQL 和 openGauss 协议的数据库代理模块。 ShardingSphere-Pr

本周安全态势综述 OSCS 社区共收录安全漏洞10个，其中公开漏洞值得关注的是 Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入漏洞（CVE-2022-46421） vm2 < 3.9.10 存在任意代码执

漏洞描述 Splunk 是一款机器数据的引擎，可用于收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk 受影响版本存在任意代码执行漏洞，经过身份验证的攻击者可利用此漏洞通过创建包含恶意代码的 SimpleXML 仪

漏洞描述 Apache Karaf 是一个用于部署业务代码或应用程​​序的 modulith 运行时环境。 Apache Karaf 的受影响版本中由于 jaas.modules.src.main.java.porg.apache.karaf.jas

漏洞描述 Foxit PDF Reader是中国福昕（Foxit）公司的一款PDF阅读器。 Foxit PDF Reader/Editor 受影响版本中在对javascript对象执行操作之前未验证对象是否存在，造成内存引用处理不当，导致存在释放后重

漏洞描述 vm2 是一个基于 Node.js 的沙箱环境，可以使用列入白名单的 Node 内置模块运行不受信任的代码。 vm2 3.9.10之前版本中由于 WeakMap.prototype.set 方法使用原型查找从而存在任意代码执行漏洞，攻击者可

漏洞描述 Apache Airflow 是一个用于以编程方式创作、安排和监控工作流平台。Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。 Apache Airflow H