1. 墨知首页
  2. 漏洞

Apache ServiceComb Service-Center SSRF漏洞 (CVE-2023-44313)

漏洞
漏洞类型 SSRF 发现时间 2024-01-31 漏洞等级 高危
MPS编号 MPS-j4lu-7ikw CVE编号 CVE-2023-44313 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于未验证请求的 instanceIP 参数,攻击者可以向 /testSchema/ 下的路由发送恶意请求获取内部敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/apache/servicecomb-service-center (-∞, 2.2.0) 升级 将组件 github.com/apache/servicecomb-service-center 升级至 2.2.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-j4lu-7ikw

https://nvd.nist.gov/vuln/detail/CVE-2023-44313

https://lists.apache.org/thread/kxovd455o9h4f2v811hcov2qknbwld5r

https://github.com/apache/servicecomb-service-center/pull/1374/commits/a353b5c0a184e1fe06484ff1c8d124c75ae2b013

https://github.com/apache/servicecomb-service-center/pull/1374

(0)
上一篇 2024年1月31日 下午10:00
下一篇 2024年2月1日 下午12:00

相关推荐

  • WPS Office 远程代码执行漏洞(WPSSRC-2023-0701绕过) (MPS-qjky-hw9x) 漏洞

    WPS Office 远程代码执行漏洞(WPSSRC-2023-0701绕过) (MPS-qjky-hw9x)

    漏洞类型 代码注入 发现时间 2023-08-22 漏洞等级 高危 MPS编号 MPS-qjky-hw9x CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 WPS Office 软件是由金山办公软件股份有限公司自主研发的一款办公软件套装。由于对 WPSSRC-2023-0701 的修复不充分,WPS Office Windows 版本…

    2023年8月23日
    0

  • 禅道项目管理系统身份认证绕过风险 (MPS-djcs-koe8)

    漏洞类型 身份验证不当 发现时间 2024-04-26 漏洞等级 高危 MPS编号 MPS-djcs-koe8 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 禅道(ZenTao)项目管理系统是国产开源管理软件,提供整套工具来帮助团队管理整个软件开发生命周期,包括需求管理、迭代计划、任务分配、缺陷跟踪、文档管理和测试用例管理等功能。…

    漏洞 2024年4月26日
    0
  • Redis RedisGraph 任意代码执行 (CVE-2023-47004) 漏洞

    Redis RedisGraph 任意代码执行 (CVE-2023-47004)

    漏洞类型 经典缓冲区溢出 发现时间 2023-11-07 漏洞等级 严重 MPS编号 MPS-pe54-zmc7 CVE编号 CVE-2023-47004 漏洞影响广度 一般 漏洞危害 OSCS 描述 Redis是一款将数据存储在磁盘上的内存数据库。RedisGraph是用于 Redis 的图形数据库模块(默认未安装该模块)。 Redis中RedisGrap…

    2023年11月7日
    0
  • OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385) 漏洞

    OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

    漏洞类型 OS命令注入 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-9rip-l1u7 CVE编号 CVE-2023-51385 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenSSH 是使用 SSH 协议进行远程登录的连接工具。 在OpenSSH 9.6版本之前的ssh中,如果用户名或主机名中含有shell元字符(如 | &#8…

    2023年12月20日
    0
  • curl cookie 绕过PSL限制漏洞 (CVE-2023-46218) 漏洞

    curl cookie 绕过PSL限制漏洞 (CVE-2023-46218)

    漏洞类型 通过发送数据的信息暴露 发现时间 2023-12-06 漏洞等级 中危 MPS编号 MPS-vdg2-0pwf CVE编号 CVE-2023-46218 漏洞影响广度 小 漏洞危害 OSCS 描述 curl 是用于在各种网络协议之间传输数据的命令行工具。 漏洞利用 curl 的Curl_cookie_add函数中的一个混合大小写的缺陷,允许一个恶意…

    2023年12月7日
    0