Apache ServiceComb Service-Center SSRF漏洞 (CVE-2023-44313)

2024年2月1日下午12:00 • 漏洞

漏洞类型	SSRF	发现时间	2024-01-31	漏洞等级	高危
MPS编号	MPS-j4lu-7ikw	CVE编号	CVE-2023-44313	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache ServiceComb Service-Center是Apache基金会的一个基于 Restful 的服务注册中心，提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞，由于未验证请求的 instanceIP 参数，攻击者可以向 /testSchema/ 下的路由发送恶意请求获取内部敏感信息。
参考链接：https://www.oscs1024.com/hd/MPS-j4lu-7ikw

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
github.com/apache/servicecomb-service-center (-∞, 2.2.0)	升级	将组件 github.com/apache/servicecomb-service-center 升级至 2.2.0 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-j4lu-7ikw

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-j4lu-7ikw

https://nvd.nist.gov/vuln/detail/CVE-2023-44313

https://lists.apache.org/thread/kxovd455o9h4f2v811hcov2qknbwld5r

https://github.com/apache/servicecomb-service-center/pull/1374/commits/a353b5c0a184e1fe06484ff1c8d124c75ae2b013

https://github.com/apache/servicecomb-service-center/pull/1374

CVE-2023-44313 漏洞

赞 (0)

curl 8.5.0 OCSP 验证绕过 (CVE-2024-0853)

上一篇 2024年1月31日下午10:00

glibc __vsyslog_internal 本地提权漏洞 (CVE-2023-6246)

下一篇 2024年2月1日下午12:00

漏洞

PowerJob 未授权访问漏洞 (CVE-2023-36106)

漏洞类型未授权敏感信息泄露发现时间 2023-08-18 漏洞等级中危 MPS编号 MPS-st3c-aw5x CVE编号 CVE-2023-36106 漏洞影响广度一般漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做…

2023年8月20日
00
漏洞

NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞

【严重】NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞漏洞描述 NVIDIA Container Toolkit 是用于在容器中启用 GPU 加速计算的官方工具集，支持 NVIDIA 显卡驱动与 CUDA 环境的集成运行。受漏洞影响版本中，NVIDIA Container Toolkit 中的 hook 初始化机制存…

2025年7月20日
00
漏洞

SOFARPC< 5.12.0 反序列化漏洞 (CVE-2024-23636)

漏洞类型反序列化发现时间 2024-01-24 漏洞等级严重 MPS编号 MPS-rm4h-is76 CVE编号 CVE-2024-23636 漏洞影响广度小漏洞危害 OSCS 描述 SOFARPC 是一个高性能、高扩展性、生产级 Java RPC 框架。 SOFARPC 默认使用 SOFA Hessian 协议来反序列化接收到的数据，而 SOFA…

2024年1月25日
00
漏洞

NPM组件 @navancorp/angular-web-components 等窃取主机敏感信息

【高危】NPM组件 @navancorp/angular-web-components 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 @navancorp/angular-web-components 等NPM组件包时会窃取用户主机的主机信息（主机名、工作目录、CPU/系统架构、IP地址等）、env/passwd/bashrc等系统敏感文件并发送到攻…

2025年8月26日
00
漏洞

NPM组件 @angular_devkit/core 等窃取主机敏感信息

【高危】NPM组件 @angular_devkit/core 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 @angular_devkit/core 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-1jf5-s6ix 处置建议强烈建议修复发现时间 2025-08-14 投毒仓库 npm…

2025年8月21日
00