OSCS开源软件安全周报，一分钟了解本周开源软件安全大事

本周安全态势综述

OSCS社区共收录安全漏洞46个，值得关注的是LibreOffice 任意代码执行漏洞（CVE-2022-26305），Atlassian Jira Service Management SSRF漏洞（CVE-2021-43959），Adobe Acrobat Reader 越界读取漏洞（CVE-2022-35672）和 Apache Calcite Avatica 项目存在远程代码执行漏洞（CVE-2022-36364）。

针对NPM仓库，共监测到 4 次投毒事件，涉及 58 个不同版本的NPM组件，投毒组件中绝大多数行为是尝试获取主机敏感信息。

重要安全漏洞列表

LibreOffice 任意代码执行漏洞（CVE-2022-26305）

LibreOffice是一款办公软件。

受影响版本的 LibreOffice 通过证书序列号和颁发者字符串对证书真实性进行验证，导致可能存在证书伪造的情况。攻击者可利用该漏洞伪造受信任证书，造成不信任宏中任意代码执行。参考链接：https://www.oscs1024.com/hd/M...

Atlassian Jira Service Management SSRF漏洞（CVE-2021-43959）

JIRA是Atlassian公司出品的项目与事务跟踪工具。

受影响的 Atlassian Jira Service Management Server 和 Data Center 版本允许经过身份验证的远程攻击者通过 JSM Insight 的 CSV 导入功能中的服务器端请求伪造 (SSRF) 漏洞访问内部网络资源的内容。攻击者可利用该漏洞访问内部系统数据。
参考链接：https://www.oscs1024.com/hd/M...

Adobe Acrobat Reader 越界读取漏洞（CVE-2022-35672）

Adobe Acrobat Reader是一款免费的PDF 阅读器应用程序。Adobe Acrobat Reader 受

影响版本在解析特制文件时受到越界读取漏洞的影响，导致读取超过内存结构的大小。攻击者可以利用此漏洞在当前用户的上下文中执行代码。
参考链接：https://www.oscs1024.com/hd/M...

Apache Calcite Avatica项目存在远程代码执行漏洞（CVE-2022-36364）

Apache Calcite Avatica是一个用于构建数据库驱动程序的框架。Apache Calcite

Avatica JDBC 驱动程序基于通过 httpclient_impl 提供的类名创建 HTTP 客户端实例连接属性，驱动程序不会验证该类是否被预期的接口实例化，攻击者可利用此缺陷远程执行代码。参考链接：https://mp.weixin.qq.com/s/y7...

投毒风险监测

OSCS针对NPM仓库监测的恶意组件数量如下所示，并且时间主要集中在周一、周四。

OSCS针对NPM仓库监测的恶意组件数量如下所示。

本周新发现 58 个不同版本的NPM组件，其中

• 87.18%的投毒NPM组件为：获取主机敏感信息（获取了主机的用户名、IP 等敏感信息
• 12.82%的投毒NPM组件为：非预期网络访问（安装过程中自动请求远程服务地址，无实际性危害）

其他资讯

黑客利用PrestaShop 0Day窃取支付数据
https://thehackernews.com/202...

恶意 npm 包窃取 Discord 令牌、信用卡信息
https://www.darkreading.com/r...

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：https://www.oscs1024.com/?src=wx

具体订阅方式详见：https://www.oscs1024.com/docs...