当前位置:网站首页>Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839)
Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839)
2022-07-07 12:46:00 【51CTO】
OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见: https://www.oscs1024.com/?src=wx
7月6日,OSCS监测到Apache基金会旗下多个项目漏洞公开,请相应组件用户关注。
漏洞概述
1、Apache Portals Jetspeed-2(CVE-2022-32533)
Apache Portals Jetspeed-2 未安全处理用户输入,导致了包括 XSS、CSRF、XXE 和 SSRF 在内的许多问题。
- 漏洞影响等级:中危
- 利用成本:低
- 受影响组件:
- 影响版本:\[\*,2.3.1\],官方已不再维护,无修复版本
- CVE编号:CVE-2022-32533
以 XSS 为例,注册的用户名设置为
但官方表示 Apache Portals Jetspeed-2 是 Apache Portals 中不再维护的项目,不会提供更新,OSCS 建议开发者进行替换。
参考链接:
2、Apache Commons Configuration(CVE-2022-33980)
Apache Commons Configuration 是用于管理配置文件的组件,在 2.8 以前的部分版本中支持了多种变量取值方式,包括 javax.script、dns 和 url,导致可以执行任意代码或进行网络访问。
- 漏洞影响等级:中危
- 利用成本:高
- 受影响组件:
- 影响版本:\[2.4,2.8.0),官方已经在 2.8.0 版本通过禁用危险方法修复此问题
- CVE编号:CVE-2022-33980
形如${prefix:name}
的字符串可以被解析,当 interpolate 操作的字符串可控时,漏洞可以被利用,支持的 prefix 如下图。
在如下的代码中可以触发
参考链接:
3、Apache Superset(CVE-2021-37839) Apache Superset 是一个数据可视化和数据探索平台。
在Apache Superset 受影响版本中,经过身份验证的用户可以未授权访问数据集相关的元数据信息,包括数据集名称、列和指标。
- 漏洞影响等级:中危
- 利用成本:中
- 受影响组件:
- 影响版本:\[\*,1.5.1),官方已经在1.5.1版本修复此问题
- CVE编号:CVE-2021-37839
处置建议
OSCS 建议使用以上组件用户根据以上风险提示,尽快修复至安全版本。
更多漏洞信息查看: https://www.oscs1024.com/hl
了解更多
1、免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息,社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息,具体订阅方式详见:
边栏推荐
- PAG体验:十分钟完成AE动效部署上线各平台!
- KITTI数据集简介与使用
- PLC:自动纠正数据集噪声,来洗洗数据集吧 | ICLR 2021 Spotlight
- Pytorch model trains practical skills and breaks through the bottleneck of speed
- 内部排序——插入排序
- PG基础篇--逻辑结构管理(锁机制--表锁)
- 回归测试的分类
- The method of parsing PHP to jump out of the loop and the difference between continue, break and exit
- 解析PHP跳出循环的方法以及continue、break、exit的区别介绍
- Use case diagram
猜你喜欢
STM32CubeMX,68套组件,遵循10条开源协议
How bad can a programmer be? Nima, they are all talents
LeetCode 648. 单词替换
小米的芯片自研之路
KITTI数据集简介与使用
一个程序员的水平能差到什么程度?尼玛,都是人才呀...
CPU与chiplet技术杂谈
Infinite innovation in cloud "vision" | the 2022 Alibaba cloud live summit was officially launched
Démontage de la fonction du système multi - Merchant Mall 01 - architecture du produit
今日睡眠质量记录78分
随机推荐
Read PG in data warehouse in one article_ stat
Introduction and use of Kitti dataset
Multi merchant mall system function disassembly lecture 01 - Product Architecture
In the field of software engineering, we have been doing scientific research for ten years!
Beginner JSP
JS get the current time, month, day, year, and the uniapp location applet opens the map to select the location
属性关键字ServerOnly,SqlColumnNumber,SqlComputeCode,SqlComputed
The method of parsing PHP to jump out of the loop and the difference between continue, break and exit
数据库如何进行动态自定义排序?
#yyds干货盘点# 解决名企真题:交叉线
[today in history] July 7: release of C; Chrome OS came out; "Legend of swordsman" issued
PD virtual machine tutorial: how to set the available shortcut keys in the parallelsdesktop virtual machine?
LeetCode 648. Word replacement
JS in the browser Base64, URL, blob mutual conversion
MicTR01 Tester 振弦采集模块开发套件使用说明
Navigation - are you sure you want to take a look at such an easy-to-use navigation framework?
Oracle Linux 9.0 officially released
Bill Gates posted his resume 48 years ago: "it's not as good-looking as yours."
Mlgo: Google AI releases industrial compiler optimized machine learning framework
Substance painter notes: settings for multi display and multi-resolution displays