（0704-0710）本周开源软件安全大事记（开源软件 安全）

（0704-0710）本周开源软件安全大事记（开源软件 安全）

本周安全态势综述

OSCS社区共收录安全漏洞15个，值得关注的是Apache Commons Configuration 任意代码执行漏洞（CVE-2022-33980），Django Trunc和Extract方法存在 SQL 注入漏洞（CVE-2022-34265）和OpenSSL RSA 远程代码执行漏洞（CVE-2022-2274）。

针对NPM和PyPI仓库，共监测到18次投毒事件，涉及94个不同版本的NPM组件，1个PyPI组件，投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

Apache Commons Configuration 任意代码执行漏洞（CVE-2022-33980）

Apache Commons Configuration 中形如${prefix :``name}的字符串可以被解析，当 interpolate操作的字符串可控时，用户调用Lookup类时可能导致攻击者执行任意代码或远程连接服务器。

OpenSSL RSA 远程代码执行漏洞（CVE-2022-2274）

OpenSSL RSA 组件在计算过程中会发生内存泄露，精心构造的 tls 认证请求或其他认证行为有可能利用泄露的内存，造成远程代码执行。

Django Trunc 和 Extract 方法存在 SQL 注入漏洞（CVE-2022-34265）

在 Django 中如果没有对 kind / lookup_name 值进行安全性校验，则 Trunc() 和 Extract() 数据库函数会受到 SQL 注入的影响。

投毒风险监测

OSCS 监测的一周投毒组件数量如下所示，可以看出工作日的投毒数量有明显的起伏，周末的投毒数量相比工作日较少

投毒行为中 60% 是尝试获取并上报主机敏感信息，进行相关风险的验证，2.1% 存在后门、远控类的行为。

例如开发者 hayahunterr 7月7日在 NPM 仓库中上传了 ably-common、api-key-regex 等与 Ably 公司的开源项目同名恶意组件包。OSCS经过分析推测其抢注包名是期望证明此类风险从而赚取 Ably 公司的漏洞赏金。

开发者btwiuse7月4日在 NPM 仓库上传携带远程控制程序的恶意组件包，已有服务器被远控。

IconBurst事件：NPM 供应链攻击影响数百个网站和应用程序，部分恶意组件包下载量已破万。

CuteBoi在过去的半年里投放了1200个NPM组件进行挖矿

其他资讯

PyPI 对关键项目强制执行 2FA

黑客从 Mangatoon 的 Elasticsearch 数据库窃取了 2300 万个账户的数据

在线编程 IDE 可用于发起远程网络攻击

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。