Apache ServiceComb Service-Center SSRF漏洞 (CVE-2023-44313)

2024年2月1日下午12:00 • 漏洞

漏洞类型	SSRF	发现时间	2024-01-31	漏洞等级	高危
MPS编号	MPS-j4lu-7ikw	CVE编号	CVE-2023-44313	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Apache ServiceComb Service-Center是Apache基金会的一个基于 Restful 的服务注册中心，提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞，由于未验证请求的 instanceIP 参数，攻击者可以向 /testSchema/ 下的路由发送恶意请求获取内部敏感信息。
参考链接：https://www.oscs1024.com/hd/MPS-j4lu-7ikw

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
github.com/apache/servicecomb-service-center (-∞, 2.2.0)	升级	将组件 github.com/apache/servicecomb-service-center 升级至 2.2.0 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-j4lu-7ikw

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-j4lu-7ikw

https://nvd.nist.gov/vuln/detail/CVE-2023-44313

https://lists.apache.org/thread/kxovd455o9h4f2v811hcov2qknbwld5r

https://github.com/apache/servicecomb-service-center/pull/1374/commits/a353b5c0a184e1fe06484ff1c8d124c75ae2b013

https://github.com/apache/servicecomb-service-center/pull/1374

CVE-2023-44313 漏洞

赞 (0)

curl 8.5.0 OCSP 验证绕过 (CVE-2024-0853)

上一篇 2024年1月31日下午10:00

glibc __vsyslog_internal 本地提权漏洞 (CVE-2023-6246)

下一篇 2024年2月1日下午12:00

Atlassian Confluence 远程代码执行漏洞 (CVE-2024-21683)

漏洞类型代码注入发现时间 2024-05-22 漏洞等级高危 MPS编号 MPS-gx20-hrqc CVE编号 CVE-2024-21683 漏洞影响广度漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。其内部审计发现Confluence Data Center和Server版本5.2中引入了…

漏洞 2024年5月24日
00
漏洞

Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678)

漏洞类型输入验证不恰当发现时间 2024-01-23 漏洞等级高危 MPS编号 MPS-qxjm-zyb4 CVE编号 CVE-2024-23678 漏洞影响广度一般漏洞危害 OSCS 描述 Splunk 是一个机器数据引擎，用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据。 Splunk Enterprise for Win…

2024年1月24日
00
漏洞

Apache Accumulo 身份认证过程缺陷（CVE-2023-34340）

漏洞类型身份验证不当发现时间 2023/6/21 漏洞等级中危 MPS编号 MPS-5l0p-exd9 CVE编号 CVE-2023-34340 漏洞影响广度一般漏洞危害 OSCS 描述 Apache Accumulo是一个排序分布式的 Key-Value 存储应用。在Apache Accumulo 2.1.0版本中，AccumuloClient …

2023年8月30日
00
漏洞

Dataease DB2 Aspectweaver 反序列化任意文件写入漏洞

【严重】Dataease DB2 Aspectweaver 反序列化任意文件写入漏洞漏洞描述 DataEase 是一款开源的数据可视化分析工具。该漏洞存在于其DB2数据源连接模块，该模块负责构建并处理与IBM DB2数据库的JDBC连接。受影响版本中，系统在拼接 DB2 数据源 JDBC 连接字符串时未对用户输入的 extraParams 或完整 URL …

2025年8月26日
00
漏洞

OGC WPS 服务端请求伪造 (CVE-2023-43795)

漏洞类型 SSRF 发现时间 2023-10-25 漏洞等级高危 MPS编号 MPS-fie8-1z7r CVE编号 CVE-2023-43795 漏洞影响广度一般漏洞危害 OSCS 描述 OGC WPS 是一个允许通过网络请求执行各种地理信息任务的地理信息处理标准。 OGC WPS规范允许对外部URL进行引用，导致攻击者能构造恶意请求，引用恶意的外部…

2023年10月25日
00