PowerJob 未授权访问漏洞
漏洞描述
PowerJob 是一款开源的分布式任务调度框架。
在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权,未授权的攻击者可以构造 appId 参数访问 /container/list接口获取应用容器的标识、运行状态、日志等敏感信息。
| 漏洞名称 | PowerJob 未授权访问漏洞 |
|---|---|
| 漏洞类型 | 未授权敏感信息泄露 |
| 发现时间 | 2023-08-18 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-st3c-aw5x |
| CVE编号 | CVE-2023-36106 |
| CNVD编号 | - |
影响范围
tech.powerjob:powerjob-server@(-∞, 4.3.5]
修复方案
避免系统可外网访问
参考链接
https://www.oscs1024.com/hd/MPS-st3c-aw5x
https://nvd.nist.gov/vuln/detail/CVE-2023-36106
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
SQL 审核 | SQLE 2.2308.0 来啦!
SQL 审核工具 SQLE 2.2308.0于今天发布。以下对新版本的 Release Notes 进行详细解读。 文章主要分为以下三部分内容: 一、SQLE项目介绍 二、新版本主要功能介绍 三、完整的 Release 信息 一、SQLE项目介绍 爱可生开源社区的 SQLE是一款面向数据库使用者和管理者,支持多场景审核,支持标准化上线流程,原生支持 MySQL 审核且数据库类型可扩展的 SQL 审核工具。目前支持各种数据库规则 700+。 SQLE 获取 类型 地址 版本库 https://github.com/actiontech/sqle 文档 https://actiontech.github.io/sqle-docs/ 发布信息 https://github.com/actiontech/sqle/releases 数据审核插件开发文档 https://actiontech.github.io/sqle-docs/docs/dev-manual/plugins/howtodev 社区版和企业版功能对比 https://actiontech.github.io/sqle-docs...
- 下一篇
Apache Airflow Spark Provider 任意文件读取漏洞
漏洞描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。 受影响版本中,在JDBC连接时,由于没有对conn_prefix参数做验证,允许输入"?"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器,读取Airflow上的任意文件。 漏洞名称 Apache Airflow Spark Provider 任意文件读取漏洞 漏洞类型 输入验证不恰当 发现时间 2023-08-17 漏洞影响广度 一般 MPS编号 MPS-w0kg-9vl7 CVE编号 CVE-2023-40272 CNVD编号 - 影响范围 apache-airflow-providers-apache-spark@(-∞, 4.1.3) 修复方案 将组件 apache-airflow-providers-apache-spark 升级到 4.1.3 或更高版本 参考链接 https://www.oscs1024.com/hd/MPS...
相关文章
文章评论
共有0条评论来说两句吧...
微信收款码
支付宝收款码