当前位置：首页 > news >正文

OSCS开源安全周报第 56 期：Apache Airflow Spark Provider 任意文件读取漏洞

news 2025/8/21 0:34:12

本周安全态势综述

OSCS 社区共收录安全漏洞 3 个，公开漏洞值得关注的是 Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark Provider 任意文件读取漏洞(CVE-2023-40272)。

针对 NPM 、PyPI 仓库，共监测到 81 个不同版本的毒组件，其中 NPM 组件包 mall-front-babel-directive 等携带远控木马，该系列的组件包具有持续性威胁行为。

重要安全漏洞列表

1. Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)
Apache NiFi 是一个开源的数据流处理和自动化工具。
在受影响版本中，由于多个Processors和Controller Services在配置JDBC和JNDI JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL，导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证，可能造成数据泄露等危害。
参考链接：https://www.oscs1024.com/hd/MPS-0378-t16x

2. PowerJob 未授权访问漏洞(CVE-2023-36106)
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权，未授权的攻击者可以构造 appId 参数访问 /container/list接口获取应用容器的标识、运行状态、日志等敏感信息。
参考链接：https://www.oscs1024.com/hd/MPS-st3c-aw5x

3. Apache Airflow Spark Provider 任意文件读取漏洞
Apache Airflow Spark Provider是Apache Airflow项目的一个插件，用于在Airflow中管理和调度Apache Spark作业。
受影响版本中，在JDBC连接时，由于没有对conn_prefix参数做验证，允许输入"?"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器，读取Airflow上的任意文件。
参考链接：https://www.oscs1024.com/hd/MPS-w0kg-9vl7

4. NPM 组件包 mall-front-babel-directive 等携带远控木马
投毒者于8月17日起发布了 essc-crypto、urs-remote 等NPM组件包之后，相继发布 mall-front-babel-directive 等NPM投毒包，当用户安装时会针Windows/Mac/Linux系统从以下网址下载对应远控木马，进而与攻击者可控的C2服务器建立连接，远程执行系统命令或执行任意文件的上传/下载。
Windows版本：hxxps://img.murphysec-nb.love/w_x32.exe
Mac版本：hxxps://img.murphysec-nb.love/m_arm64
Linux版本：hxxps://img.murphysec-nb.love/l_x64
参考链接：https://www.oscs1024.com/hd/MPS-6olr-8p73

*查看漏洞详情页，支持免费检测项目中使用了哪些有缺陷的第三方组件

投毒风险监测

OSCS 针对 NPM 仓库监测的恶意组件数量如下所示。
在这里插入图片描述

本周新发现 81 个不同版本的恶意组件:
在这里插入图片描述

64% 的投毒组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息发送给恶意服务器）
36% 的投毒组件为：安装木马后门文件

其他资讯

中路对线发现正在攻防演练中投毒的红队大佬
https://mp.weixin.qq.com/s/zHgRa9Whp2mCpHVviHoOwg

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：
https://www.oscs1024.com/cm

具体订阅方式详见：
https://www.oscs1024.com/docs/vuln-warning/intro/#情报类型和推送内容
在这里插入图片描述

OSCS开源安全周报第 56 期：Apache Airflow Spark Provider 任意文件读取漏洞

本周安全态势综述

重要安全漏洞列表

投毒风险监测

其他资讯

情报订阅

相关文章：

OSCS开源安全周报第 56 期：Apache Airflow Spark Provider 任意文件读取漏洞

CleanMyMac2024永久版Mac清理工具

软考高级系统架构设计师（一）计算机硬件

bat文件中自定义cmd命令；执行完退出命令提示符窗口

深度学习的经典算法的论文、解读和代码实现

开源TTS+gtx1080+cuda11.7+conda+python3.9吊打百度TTS

【私有GPT】CHATGLM-6B部署教程

基于“R语言+遥感“水环境综合评价方法教程

To_Heart—题解——P6234 [eJOI2019] T形覆盖

[软件工具]精灵标注助手目标检测数据集格式转VOC或者yolo

Spring BeanName自动生成原理

论文阅读_图形图像_U-NET

基于热交换算法优化的BP神经网络（预测应用） - 附代码

基于秃鹰算法优化的BP神经网络（预测应用） - 附代码

2.文章复现《热电联产系统在区域综合能源系统中的定容选址研究》（附matlab程序）

如何开启esxi主机的ssh远程连接

Android Studio实现解析HTML获取json，解析json图片URL，将URL存到list，进行瀑布流展示

Centos7 交叉编译QT5.9.9源码 AArch64架构

爬虫逆向实战（二十）--某99网站登录

【C# 基础精讲】LINQ to Objects查询

Python：操作 Excel 折叠

Vue2 第一节_Vue2上手_插值表达式{{}}_访问数据和修改数据_Vue开发者工具

Python ROS2【机器人中间件框架】简介

佰力博科技与您探讨热释电测量的几种方法

基于Java Swing的电子通讯录设计与实现：附系统托盘功能代码详解

Fabric V2.5 通用溯源系统——增加图片上传与下载功能

安卓基础（Java 和 Gradle 版本）

uniapp 小程序学习（一）

Docker拉取MySQL后数据库连接失败的解决方案

[USACO23FEB] Bakery S