1. 墨知首页
  2. 漏洞

Apache ServiceComb Service-Center SSRF漏洞 (CVE-2023-44313)

漏洞
漏洞类型 SSRF 发现时间 2024-01-31 漏洞等级 高危
MPS编号 MPS-j4lu-7ikw CVE编号 CVE-2023-44313 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于未验证请求的 instanceIP 参数,攻击者可以向 /testSchema/ 下的路由发送恶意请求获取内部敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/apache/servicecomb-service-center (-∞, 2.2.0) 升级 将组件 github.com/apache/servicecomb-service-center 升级至 2.2.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-j4lu-7ikw

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-j4lu-7ikw

https://nvd.nist.gov/vuln/detail/CVE-2023-44313

https://lists.apache.org/thread/kxovd455o9h4f2v811hcov2qknbwld5r

https://github.com/apache/servicecomb-service-center/pull/1374/commits/a353b5c0a184e1fe06484ff1c8d124c75ae2b013

https://github.com/apache/servicecomb-service-center/pull/1374

(0)
上一篇 2024年1月31日 下午10:00
下一篇 2024年2月1日 下午12:00

相关推荐

  • JumpServer 命令绕过漏洞 (CVE-2023-48193) 漏洞

    JumpServer 命令绕过漏洞 (CVE-2023-48193)

    漏洞类型 授权机制不恰当 发现时间 2023-11-29 漏洞等级 中危 MPS编号 MPS-20vd-8lzy CVE编号 CVE-2023-48193 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 受影响版本中,当JumpServer在设置命令过滤功能时,攻击者可以通过将过滤后的命令保存在一个.sh 脚本中,直接…

    2023年11月29日
    0

  • Atlassian Confluence 远程代码执行漏洞 (CVE-2024-21683)

    漏洞类型 代码注入 发现时间 2024-05-22 漏洞等级 高危 MPS编号 MPS-gx20-hrqc CVE编号 CVE-2024-21683 漏洞影响广度 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 其内部审计发现Confluence Data Center和Server版本5.2中引入了…

    漏洞 2024年5月24日
    0
  • NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞 漏洞

    NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞

    【严重】NVIDIA Container Toolkit < 1.17.8 容器逃逸漏洞 漏洞描述 NVIDIA Container Toolkit 是用于在容器中启用 GPU 加速计算的官方工具集,支持 NVIDIA 显卡驱动与 CUDA 环境的集成运行。受漏洞影响版本中,NVIDIA Container Toolkit 中的 hook 初始化机制存…

    2025年7月19日
    0
  • MLflow<2.9.2 存在任意文件写入漏洞 (CVE-2023-6753) 漏洞

    MLflow<2.9.2 存在任意文件写入漏洞 (CVE-2023-6753)

    漏洞类型 路径遍历 发现时间 2023-12-14 漏洞等级 严重 MPS编号 MPS-hbve-if4y CVE编号 CVE-2023-6753 漏洞影响广度 小 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 2.9.2之前版本中由于使用 posixpath.basename 过滤文件路径,未正确过滤 Windows 路…

    2023年12月18日
    0
  • Kibana <7.17.15,<8.11.1 日志文件泄漏敏感信息 (CVE-2023-46671) 漏洞

    Kibana <7.17.15,<8.11.1 日志文件泄漏敏感信息 (CVE-2023-46671)

    漏洞类型 日志敏感信息泄露 发现时间 2023-11-15 漏洞等级 严重 MPS编号 MPS-q2z6-3vtp CVE编号 CVE-2023-46671 漏洞影响广度 一般 漏洞危害 OSCS 描述 Kibana 是一个用于 Elasticsearch 的开源数据可视化工具,旨在帮助用户分析和展示其存储在 Elasticsearch 中的数据。 Kiba…

    2023年11月16日
    0