PowerJob 未授权访问漏洞 (CVE-2023-36106)

PowerJob 未授权访问漏洞 (CVE-2023-36106)
漏洞类型 未授权敏感信息泄露 发现时间 2023-08-18 漏洞等级 中危
MPS编号 MPS-st3c-aw5x CVE编号 CVE-2023-36106 漏洞影响广度 一般

漏洞危害

OSCS 描述
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问 /container/list接口获取应用容器的标识、运行状态、日志等敏感信息。

参考链接:https://www.oscs1024.com/hd/MPS-st3c-aw5x

CVE 描述
powerjob 4.3.2及更早版本中存在一个不正确的访问控制漏洞,允许远程攻击者通过/container/list的appId参数查询接口获取敏感信息。

参考链接:https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-36106

 

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
tech.powerjob:powerjob-server (-∞, 4.3.5] 缓解措施 避免系统可外网访问
参考链接:https://www.oscs1024.com/hd/MPS-st3c-aw5x

CVE 平台影响范围和处置方案

影响范围 处置方式 处置方法
powerjob <= 4.3.2
参考链接:https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-36106

 

 

 

排查方式

方式1:使用漏洞检测CLI工具来排查

使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html

方式2:使用漏洞检测IDEA插件排查

使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3:接入GitLab进行漏洞检测排查

使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-st3c-aw5x

https://nvd.nist.gov/vuln/detail/CVE-2023-36106

https://gist.github.com/tztdsb/a653b6db328199ec0f55e54b4e466415#file-gistfile1-txt

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-36106

(0)
上一篇 2023年8月14日 下午6:29
下一篇 2023年8月20日 上午12:00

相关推荐

  • pgjdbc 存在SQL注入漏洞 (CVE-2024-1597)

    漏洞类型 SQL注入 发现时间 2024-02-19 漏洞等级 严重 MPS编号 MPS-1wko-hvgp CVE编号 CVE-2024-1597 漏洞影响广度 小 漏洞危害 OSCS 描述 pgjdbc 是PostgreSQL的JDBC驱动程序。 pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)…

    2024年2月20日
    0
  • Apache Derby LDAP 注入漏洞 (CVE-2022-46337)

    漏洞类型 LDAP注入 发现时间 2023-11-20 漏洞等级 中危 MPS编号 MPS-2022-65764 CVE编号 CVE-2022-46337 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Derby 是开源的关系型数据库管理系统。 受影响版本中,由于 LDAPAuthenticationSchemeImpl#getDNFromUI…

    2023年11月21日
    0
  • Apache Struts2 存在远程代码执行漏洞 (CVE-2023-50164)

    漏洞类型 对外部实体的文件或目录可访问 发现时间 2023-12-07 漏洞等级 严重 MPS编号 MPS-5qa9-hjgt CVE编号 CVE-2023-50164 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Struts是美国阿帕奇(Apache)基金会的开源Web项目,是一套用于创建企业级Java Web应用的开源MVC框架。 在受影响…

    2023年12月8日
    0
  • JumpServer 目录穿越漏洞 (CVE-2023-42819)

    漏洞类型 相对路径遍历 发现时间 2023-09-27 漏洞等级 中危 MPS编号 MPS-dw07-ztm9 CVE编号 CVE-2023-42819 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 在JumpServer受影响版本中,由于在api/playbook.py文件直接使用os.path.join对file…

    2023年9月28日
    0
  • Google Chrome<121.0.6167.85 Web Audio 释放后使用漏洞 (CVE-2024-0807)

    漏洞类型 UAF 发现时间 2024-01-24 漏洞等级 高危 MPS编号 MPS-dgzo-536e CVE编号 CVE-2024-0807 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。Web Audio 是用于在浏览器中进行音频处理和合成的 API。 Google Chrome 121…

    2024年1月25日
    0