1. 墨知首页
  2. 漏洞

Apache ServiceComb Service-Center SSRF漏洞 (CVE-2023-44313)

漏洞
漏洞类型 SSRF 发现时间 2024-01-31 漏洞等级 高危
MPS编号 MPS-j4lu-7ikw CVE编号 CVE-2023-44313 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于未验证请求的 instanceIP 参数,攻击者可以向 /testSchema/ 下的路由发送恶意请求获取内部敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/apache/servicecomb-service-center (-∞, 2.2.0) 升级 将组件 github.com/apache/servicecomb-service-center 升级至 2.2.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-j4lu-7ikw

https://nvd.nist.gov/vuln/detail/CVE-2023-44313

https://lists.apache.org/thread/kxovd455o9h4f2v811hcov2qknbwld5r

https://github.com/apache/servicecomb-service-center/pull/1374/commits/a353b5c0a184e1fe06484ff1c8d124c75ae2b013

https://github.com/apache/servicecomb-service-center/pull/1374

(0)
上一篇 2024年1月31日 下午10:00
下一篇 2024年2月1日 下午12:00

相关推荐

  • NPM组件 @2l/ewa-analytics-web-sdk 窃取主机信息 漏洞

    NPM组件 @2l/ewa-analytics-web-sdk 窃取主机信息

    【高危】NPM组件 @2l/ewa-analytics-web-sdk 窃取主机信息 漏洞描述 当用户安装受影响版本的 @2l/ewa-analytics-web-sdk NPM组件包时会窃取用户主机的系统硬件、操作系统、浏览器类型、语言设置等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-4j08-mvqa 处置建议 强烈建议修复 发现时间 20…

    2025年8月21日
    0
  • 契约锁电子签章系统 pdfverifier 远程代码执行漏洞 漏洞

    契约锁电子签章系统 pdfverifier 远程代码执行漏洞

    【高危】契约锁电子签章系统 pdfverifier 远程代码执行漏洞 漏洞描述 契约锁是上海亘岩网络科技有限公司推出的一个电子签章及印章管控平台。受影响版本中,pdfverifier 接口在处理 OFD 文件(实质为 ZIP 压缩格式)时,未对压缩包内的文件名进行路径合法性校验。攻击者可构造包含 ../ 的恶意条目,在解压过程中将文件写入服务器任意路径,从而…

    2025年7月14日
    0
  • Microsoft Edge(Chromium-based)任意代码执行漏洞 (CVE-2023-36008) 漏洞

    Microsoft Edge(Chromium-based)任意代码执行漏洞 (CVE-2023-36008)

    漏洞类型 发现时间 2023-11-17 漏洞等级 中危 MPS编号 MPS-3bdv-qu0y CVE编号 CVE-2023-36008 漏洞影响广度 一般 漏洞危害 OSCS 描述 Microsoft Edge(Chromium-based)是微软公司开发的一款浏览器。 Microsoft Edge(Chromium-based)存在任意代码执行漏洞。该…

    2023年11月18日
    0

  • runc <1.2.0-rc.1 systemd属性注入漏洞 (CVE-2024-3154)

    漏洞类型 命令注入 发现时间 2024-04-27 漏洞等级 高危 MPS编号 MPS-617x-mejs CVE编号 CVE-2024-3154 漏洞影响广度 一般 漏洞危害 OSCS 描述 CRI-O 是一款开源的、用于Kubernetes系统的轻量级容器运行时环境,runc 是 CRI-O 中用于创建和运行容器的工具。 runc 受影响版本中由于未对 …

    漏洞 2024年4月28日
    0
  • SugarCRM 存在二阶PHP对象注入漏洞 (CVE-2023-35810) 漏洞

    SugarCRM 存在二阶PHP对象注入漏洞 (CVE-2023-35810)

    漏洞类型 代码注入 发现时间 2023/6/19 漏洞等级 高危 MPS编号 MPS-lf2x-y6h4 CVE编号 CVE-2023-35810 漏洞影响广度 一般 漏洞危害 OSCS 描述 SugarCRM 是一款开源的客户关系管理(CRM)软件。受影响版本中,由于缺少输入验证,DocuSign 模块中存在二阶 PHP 对象注入漏洞。具有管理员权限的攻击…

    2023年8月30日
    0