Apache Ozone 身份验证不当漏洞 (CVE-2023-39196)

漏洞类型 身份验证不当 发现时间 2024-02-08 漏洞等级 中危
MPS编号 MPS-p28e-s1h5 CVE编号 CVE-2023-39196 漏洞影响广度

漏洞危害

OSCS 描述
Apache Ozone 是用于 Hadoop 和云原生的分布式对象存储系统。
Apache Ozone 1.2.0至1.3.0版本存在身份验证不当漏洞,该漏洞允许未经身份验证的攻击者下载存储容器管理服务中的元数据(不包含实际用户数据并且无法对系统造成影响),同时无法对元数据进行任何修改。
参考链接:https://www.oscs1024.com/hd/MPS-p28e-s1h5

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.ozone:ozone-main [1.2.0, 1.4.0) 升级 将组件 org.apache.ozone:ozone-main 升级至 1.4.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-p28e-s1h5

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-p28e-s1h5

https://nvd.nist.gov/vuln/detail/CVE-2023-39196

https://github.com/advisories/GHSA-6726-2rx3-cgwh

(0)
上一篇 2024年2月7日 下午12:00
下一篇 2024年2月9日 下午12:00

相关推荐

  • JeecgBoot<3.5.3 存在 sql 注入漏洞 (CVE-2023-38992) [有POC]

    漏洞类型 SQL 注入 发现时间 2023/7/29 漏洞等级 高危 MPS编号 MPS-f2j4-cs6r CVE编号 CVE-2023-38992 漏洞影响广度 广 漏洞危害 OSCS 描述 JeecgBoot 是一款开源的的低代码开发平台。受影响版本中,由于 SysDictController#loadTreeData 未对用户传入的 sql 字符进行…

    2023年8月11日
    0
  • JumpServer 命令绕过漏洞 (CVE-2023-48193)

    漏洞类型 授权机制不恰当 发现时间 2023-11-29 漏洞等级 中危 MPS编号 MPS-20vd-8lzy CVE编号 CVE-2023-48193 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 受影响版本中,当JumpServer在设置命令过滤功能时,攻击者可以通过将过滤后的命令保存在一个.sh 脚本中,直接…

    2023年11月29日
    0
  • pimcore/pimcore <10.5.22 存在路径遍历漏洞 (CVE-2023-2984)

    漏洞类型 路径遍历 发现时间 2023/5/31 漏洞等级 高危 MPS编号 MPS-65b9-qpxd CVE编号 CVE-2023-2984 漏洞影响广度 一般 漏洞危害 OSCS 描述 pimcore/pimcore 是一个开源的多功能企业级内容管理系统 (CMS) 和数据管理平台。pimcore/pimcore 10.5.22版本之前版本中由于 Pi…

    2023年8月31日
    0
  • Atlassian Confluence 路径遍历漏洞 (CVE-2024-21677)

    漏洞类型 路径遍历 发现时间 2024-03-20 漏洞等级 高危 MPS编号 MPS-y5pm-1c07 CVE编号 CVE-2024-21677 漏洞影响广度 广 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server 在6….

    2024年3月25日
    0
  • 瑞友天翼应用虚拟化系统<7.0.5.1远程代码执行漏洞 (MPS-q9y0-w78m)

    漏洞类型 代码注入 发现时间 2024-05-06 漏洞等级 严重 MPS编号 MPS-q9y0-w78m CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 瑞友天翼应用虚拟化系统是基于云计算技术的应用虚拟化解决方案,可以帮助用户实现应用的快速部署和管理。 受影响版本中由于SQL注入漏洞,默认未通过secure_file_priv配置限…

    漏洞 2024年5月8日
    0