OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见: ​​https://www.oscs1024.com/?src=wx​

7月6日,OSCS监测到Apache基金会旗下多个项目漏洞公开,请相应组件用户关注。

漏洞概述

1、Apache Portals Jetspeed-2(CVE-2022-32533)

Apache Portals Jetspeed-2 未安全处理用户输入,导致了包括 XSS、CSRF、XXE 和 SSRF 在内的许多问题。

  • 漏洞影响等级:中危
  • 利用成本:低
  • 受影响组件:
org.apache.portals.jetspeed-2:jetspeed-2
  • 影响版本:\[\*,2.3.1\],官方已不再维护,无修复版本
  • CVE编号:CVE-2022-32533

以 XSS 为例,注册的用户名设置为

但官方表示 Apache Portals Jetspeed-2 是 Apache Portals 中不再维护的项目,不会提供更新,OSCS 建议开发者进行替换。

参考链接:

https://www.oscs1024.com/hd/MPS-2022-17607/?src=wx

https://nvd.nist.gov/vuln/detail/CVE-2022-32533

2、Apache Commons Configuration(CVE-2022-33980)

Apache Commons Configuration 是用于管理配置文件的组件,在 2.8 以前的部分版本中支持了多种变量取值方式,包括 javax.script、dns 和 url,导致可以执行任意代码或进行网络访问。

  • 漏洞影响等级:中危
  • 利用成本:高
  • 受影响组件:
org.apache.commons:commons-configuration2
  • 影响版本:\[2.4,2.8.0),官方已经在 2.8.0 版本通过禁用危险方法修复此问题
  • CVE编号:CVE-2022-33980

形如​​${prefix:name}​​的字符串可以被解析,当 interpolate 操作的字符串可控时,漏洞可以被利用,支持的 prefix 如下图。

Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839)_漏洞

在如下的代码中可以触发

Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839)_apache_02

参考链接:

https://www.oscs1024.com/hd/MPS-2022-19214/?src=wx

https://nvd.nist.gov/vuln/detail/CVE-2022-33980

3、Apache Superset(CVE-2021-37839) Apache Superset 是一个数据可视化和数据探索平台。

在Apache Superset 受影响版本中,经过身份验证的用户可以未授权访问数据集相关的元数据信息,包括数据集名称、列和指标。

  • 漏洞影响等级:中危
  • 利用成本:中
  • 受影响组件:
apache-superset
  • 影响版本:\[\*,1.5.1),官方已经在1.5.1版本修复此问题
  • CVE编号:CVE-2021-37839
参考链接:

https://www.oscs1024.com/hd/MPS-2021-28604/?src=wx

https://nvd.nist.gov/vuln/detail/CVE-2021-37839

处置建议

OSCS 建议使用以上组件用户根据以上风险提示,尽快修复至安全版本。

更多漏洞信息查看:​​https://www.oscs1024.com/hl​

了解更多

1、免费使用 OSCS 的情报订阅服务

OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息,社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息,具体订阅方式详见:

​https://www.oscs1024.com/docs/vuln-warning/intro/​

Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839)_数据集_03

Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839)_apache_04