Apache ServiceComb Service-Center SSRF漏洞 (CVE-2023-44313)

漏洞类型 SSRF 发现时间 2024-01-31 漏洞等级 高危
MPS编号 MPS-j4lu-7ikw CVE编号 CVE-2023-44313 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于未验证请求的 instanceIP 参数,攻击者可以向 /testSchema/ 下的路由发送恶意请求获取内部敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/apache/servicecomb-service-center (-∞, 2.2.0) 升级 将组件 github.com/apache/servicecomb-service-center 升级至 2.2.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-j4lu-7ikw

https://nvd.nist.gov/vuln/detail/CVE-2023-44313

https://lists.apache.org/thread/kxovd455o9h4f2v811hcov2qknbwld5r

https://github.com/apache/servicecomb-service-center/pull/1374/commits/a353b5c0a184e1fe06484ff1c8d124c75ae2b013

https://github.com/apache/servicecomb-service-center/pull/1374

(0)
上一篇 2024年1月31日 下午10:00
下一篇 2024年2月1日 下午12:00

相关推荐

  • glibc __vsyslog_internal 本地提权漏洞 (CVE-2023-6246)

    漏洞类型 缓冲区溢出 发现时间 2024-01-31 漏洞等级 高危 MPS编号 MPS-imzk-oyuj CVE编号 CVE-2023-6246 漏洞影响广度 广 漏洞危害 OSCS 描述 glibc(又名GNU C Library,libc6)是按照LGPL许可协议发布的开源免费C标准库。 由于 __vsyslog_internal 函数未正确处理打印…

    2024年2月1日
    0
  • Strapi <4.10.8 敏感信息泄漏漏洞 (CVE-2023-34235) [有POC]

    漏洞类型 未授权敏感信息泄露 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-mxgn-froy CVE编号 CVE-2023-34235 漏洞影响广度 一般 漏洞危害 OSCS 描述 Strapi 是一个开源的 headless 内容管理系统,可将内容的创建与展示进行分离。Strapi 4.10.8之前版本中,由于 Knex 查询允许更改…

    2023年8月11日
    0
  • FE业务协作平台存在文件上传漏洞 (MPS-plcb-5td0)

    漏洞类型 任意文件上传 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-plcb-5td0 CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 FE业务协同平台是飞启软件自2004年以来在行业内不断创新和突破的一款基于平台的协同办公软件。 /common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意…

    漏洞 2024年5月17日
    0
  • PowerJob<=4.3.3 远程代码执行漏洞 (CVE-2023-37754)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-ycmw-pl41 CVE编号 CVE-2023-37754 漏洞影响广度 一般 漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权,4.3.3 及之前版本中,未经授权的攻击者可向 /instance/det…

    2023年8月11日
    0
  • Apache HugeGraph-Server<1.3.0 Gremlin命令执行漏洞 (CVE-2024-27348)

    漏洞类型 代码注入 发现时间 2024-04-22 漏洞等级 中危 MPS编号 MPS-5hs6-vtei CVE编号 CVE-2024-27348 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache HugeGraph-Server 是一个开源大规模图数据库管理系统。Gremlin 用于在图数据库上进行数据查询和操作。 由于1.0.0到1.3.0版本…

    漏洞 2024年4月24日
    0