OSCS开源安全周报第 57 期:Smartbi windowUnloading限制绕过导致远程代码执行
💡
原文中文,约2800字,阅读约需7分钟。
📝
内容提要
本周OSCS社区收录了13个安全漏洞,包括WinRAR<6.23远程代码执行、Spring Kafka反序列化、Smartbi windowUnloading限制绕过、WPS Office远程代码执行和致远A8前台上传解压漏洞。NPM仓库监测到124个毒组件,其中70%获取主机敏感信息,20%获取用户敏感信息,10%安装木马后门文件。其他资讯包括Discord通知受数据泄露影响的用户和OSCS提供的情报订阅服务。
🎯
关键要点
- 本周OSCS社区收录了13个安全漏洞。
- 重要漏洞包括WinRAR<6.23远程代码执行、Spring Kafka反序列化、Smartbi windowUnloading限制绕过、WPS Office远程代码执行和致远A8前台上传解压漏洞。
- WinRAR<6.23漏洞允许攻击者通过恶意压缩文件远程执行任意代码。
- Spring Kafka反序列化漏洞允许攻击者注入恶意payload并远程执行代码。
- Smartbi的漏洞允许攻击者绕过权限验证并执行远程代码。
- WPS Office的漏洞允许攻击者通过恶意文档远程执行任意代码。
- 致远A8的漏洞允许攻击者上传并解压任意文件,获取系统控制权限。
- NPM仓库监测到124个毒组件,其中70%获取主机敏感信息,20%获取用户敏感信息,10%安装木马后门文件。
- Discord开始通知受三月数据泄露影响的用户。
- OSCS提供开源项目安全风险动态的情报订阅服务。
➡️
