知道创宇云监测—ScanV MAX更新：泛微OA、Hadoop Yarn RPC等12个漏洞可监测

本次更新ScanV MAX漏洞检测插件特征库至版本：20211122

新增漏洞检测插件12个，优化历史插件3个。

一、新增漏洞检测插件

1.Spring Cloud Config 路径遍历漏洞（CVE-2020-5410），插件更新时间：2021年11月19日

2.JFrog Artifactory 管理员身份认证绕过漏洞（CVE-2019-9733），插件更新时间：2021年11月19日

3.Jenkins GitHub 敏感信息泄露漏洞（CVE-2018-1000600），插件更新时间：2021年11月19日

4.rConfig 远程命令执行漏洞 （CVE-2019-16663），插件更新时间：2021年11月19日

5.Kubeflow 未授权访问漏洞，插件更新时间：2021年11月18日

6.泛微OA前台任意文件下载漏洞，插件更新时间：2021年11月18日

7.Apache ShenYu 身份认证绕过漏洞（CVE-2021-37580），插件更新时间：2021年11月17日

8.NPS 管理页默认密码漏洞，插件更新时间：2021年11月17日

9.泛微OA SQL 注入漏洞（CNVD-2021-73908），插件更新时间：2021年11月16日

10.Hadoop Yarn RPC 未授权访问，插件更新时间：2021年11月16日

11.Pentaho身份验证绕过漏洞（CVE-2021-31602），插件更新时间：2021年11月16日

12.Ruby on Rails 路径穿越与任意文件读取漏洞（CVE-2019-5418），插件更新时间：2021年11月16日

漏洞相关信息：

1.Spring Cloud Config 路径遍历漏洞（CVE-2020-5410）

漏洞插件更新时间:

2021年11月19日

漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5410

漏洞等级:

高危

漏洞影响:

Spring Cloud Config 2.2.3之前的2.2.x版本、2.1.9之前的2.1.x版本和不再受支持的旧版本中的Spring-cloud-config-server模块存在路径遍历漏洞，该漏洞源于程序没有正确验证用户请求。攻击者可借助特制URL利用该漏洞查看系统上的任意文件。

建议解决方案:

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://tanzu.vmware.com/security/cve-2020-5410

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5410

2.JFrog Artifactory 管理员身份认证绕过漏洞（CVE-2019-9733）

漏洞插件更新时间:

2021年11月19日

漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9733

漏洞等级:

高危

漏洞影响:

未授权的攻击者可构造请求头部XFF信息并利用系统内置账号请求/api/v1/users/接口绕过身份认证。

影响范围：

根据ZoomEye网络空间搜索引擎关键字title:"JFrog"对潜在可能目标进行搜索，共得到11,131 条IP历史记录。主要分布在美国、德国等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=title%3A%22JFrog%22）

全球分布：

建议解决方案:

官方已发布安全版本，请受影响的客户及时升级至6.8.6以后版本，参考链接：https://www.jfrog.com

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9733

3.Jenkins GitHub 敏感信息泄露漏洞（CVE-2018-1000600）

漏洞插件更新时间:

2021年11月19日

漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000600

漏洞等级:

高危

漏洞影响:

允许未授权的攻击者使用指定的ID访问指定的 URL，获取存储在 Jenkins 中的凭据。

影响范围：

根据ZoomEye网络空间搜索引擎关键字app:"Jenkins"对潜在可能目标进行搜索，共得到2,583,952  条IP历史记录。主要分布在美国、中国等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=app%3A%22Jenkins%22）

全球分布：

建议解决方案:

官方已发布更新补丁，请受影响的客户及时下载更新GitHub插件至1.29.2及以后版本，参考链接：https://plugins.jenkins.io/github/

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000600

4.rConfig 远程命令执行漏洞 （CVE-2019-16663）

漏洞插件更新时间:

2021年11月19日

漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16663

漏洞等级:

高危

漏洞影响:

攻击者可以通过向search.crud.php发送GET请求直接执行系统命令，因为catCommand参数在不进行过滤的情况下传递给exec函数，这可能导致命令执行。

影响范围：

根据ZoomEye网络空间搜索引擎关键字"rConfig"对潜在可能目标进行搜索，共得到 12,398   条IP历史记录。主要分布在美国、罗马尼亚等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult/report?q=%22rConfig%22）

全球分布：

建议解决方案:

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：https://rconfig.com

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16663

5.Kubeflow 未授权访问漏洞

漏洞插件更新时间:

2021年11月18日

漏洞来源：

https://www.seebug.org/vuldb/ssvid-99380

漏洞等级:

高危

漏洞影响:

攻击者通过Kubeflow未授权访问漏洞，可以部署恶意容器，从而远程执行命令并控制服务器。

影响范围：

根据ZoomEye网络空间搜索引擎关键字Kubeflow-Central-Dashboard对潜在可能目标进行搜索，共得到285  条IP历史记录。主要分布在美国、爱尔兰等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=Kubeflow-Central-Dashboard）

全球分布：

建议解决方案:

设置Istio服务不是具有公网IP的Load-Balancer，即Kubeflow仪表盘不直接对公网开放。

参考链接:

https://www.seebug.org/vuldb/ssvid-99380

6.泛微OA前台任意文件下载漏洞

漏洞插件更新时间:

2021年11月18日

漏洞等级:

高危

漏洞影响:

未经授权的攻击者可以利用该漏洞获取数据库配置文件等敏感信息。

影响范围：

根据ZoomEye网络空间搜索引擎关键字app:"泛微 协同办公OA"对潜在可能目标进行搜索，共得到14,251  条IP历史记录。主要分布在中国、美国等国家。（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=app%3A%22%E6%B3%9B%E5%BE%AE%20%E5%8D%8F%E5%90%8C%E5%8A%9E%E5%85%ACOA%22）

全球分布：

建议解决方案:

厂商已经修复了该漏洞，请受影响用户及时下载补丁修复漏洞，补丁获取链接：https://www.weaver.com.cn/cs/securityDownload.asp

7.HaApache ShenYu 身份认证绕过漏洞（CVE-2021-37580）

漏洞插件更新时间:

2021年11月17日

漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37580

漏洞等级:

高危

漏洞影响:

未授权的攻击者可利用代码中泄露的key伪造用于身份验证的Token，进而绕过身份验证，获取系统敏感信息。

影响范围：

根据ZoomEye网络空间搜索引擎关键字"ShenYu Gateway"对潜在可能目标进行搜索，共得到9  条IP历史记录。主要分布在中国。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=%22ShenYu%20Gateway%22）

全球分布：

建议解决方案:

官方已发布安全版本，请受影响的客户及时下载更新，参考链接：https://shenyu.apache.org/

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-37580

8.NPS 管理页默认密码漏洞

漏洞插件更新时间:

2021年11月17日

漏洞来源：

https://www.seebug.org/vuldb/ssvid-99381

漏洞等级:

中危

漏洞影响:

存在默认配置问题漏洞，该漏洞源于admin帐户存在默认口令，攻击者可以利用默认口令登录系统。

影响范围：

根据ZoomEye网络空间搜索引擎关键字"NPS" 对潜在可能目标进行搜索，共得到 318,062 条IP历史记录。主要分布在美国、中国等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=%22NPS%22）

全球分布：

建议解决方案:

官方未发布漏洞修复方案，请受影响的客户及时完善密码策略，信息安全最佳实践的密码策略为8位（包括）以上字符，包含数字、大小写字母、特殊字符中的至少3种。

参考链接:

https://www.seebug.org/vuldb/ssvid-99381

9.泛微OA SQL 注入漏洞（CNVD-2021-73908）

漏洞插件更新时间:

2021年11月16日

漏洞来源：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73908

漏洞等级:

高危

漏洞影响:

未经授权的攻击者可以利用该漏洞获取数据库敏感信息。

影响范围：

根据ZoomEye网络空间搜索引擎关键字app:"泛微 协同办公OA"对潜在可能目标进行搜索，共得到14,209  条IP历史记录。主要分布在中国、美国等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult/report?q=app%3A%22%E6%B3%9B%E5%BE%AE%20%E5%8D%8F%E5%90%8C%E5%8A%9E%E5%85%ACOA%22）

全球分布：

建议解决方案:

厂商已提供漏洞修补方案，建议用户下载使用:https://www.weaver.com.cn/cs/securityDownload.html

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2021-73908

10.Hadoop Yarn RPC 未授权访问

漏洞插件更新时间:

2021年11月16日

漏洞等级:

高危

漏洞影响:

未经授权的攻击者可以通过该组件执行任意操作系统命令，从而控制服务器作为肉鸡或者进行违法挖矿的行为。

影响范围：

根据ZoomEye网络空间搜索引擎关键字"It looks like you are making an HTTP request to a Hadoop IPC"对潜在可能目标进行搜索，共得到49,193  条IP历史记录。主要分布在中国、美国等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=%22It%20looks%20like%20you%20are%20making%20an%20HTTP%20request%20to%20a%20Hadoop%20IPC%22）

全球分布：

建议解决方案:

1、官方建议用户开启kerberos认证，即在配置文件中添加如下内容：

<property>

<name>hadoop.security.authentication</name>

<value>kerberos</value>

<final>false</final>

<source>core-site.xml</source>

</property>

...

<property>

<name>hadoop.rpc.protection</name>

<value>authentication</value>

<final>false</final>

<source>core-default.xml</source>

</property>

2、设置 Hadoop RPC服务所在端口仅对可信地址开放。

11.Pentaho身份验证绕过漏洞（CVE-2021-31602）

漏洞插件更新时间:

2021年11月16日

漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31602

漏洞等级:

高危

漏洞影响:

未授权的攻击者可以构造参数访问系统接口获取敏感信息。

影响范围：

根据ZoomEye网络空间搜索引擎关键字Pentaho对潜在可能目标进行搜索，共得到 19,545  条IP历史记录。主要分布在美国、巴西等国家。

（ZoomEye搜索链接：https://www.zoomeye.org/searchResult?q=Pentaho）

全球分布：

建议解决方案:

官方已发布安全版本，请受影响的客户及时下载更新，参考链接：https://www.hitachi.com/hirt/security/index.html

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31602

12.Ruby on Rails 路径穿越与任意文件读取漏洞（CVE-2019-5418）

漏洞插件更新时间:

2021年11月16日

漏洞来源：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5418

漏洞等级:

中危

漏洞影响:

未授权的攻击者可利用该漏洞渲染服务器上的文件，实现任意文件读取，获取服务器上的敏感信息。

影响范围：

根据ZoomEye网络空间搜索引擎关键字title:"Ruby on Rails" 对潜在可能目标进行搜索，共得到 16,260  条IP历史记录。主要分布在美国、日本等国家。（ZoomEye搜索链接：https://www.zoomeye.org/searchResult/report?q=title%3A%22Ruby%20on%20Rails%22）

全球分布：

建议解决方案:

厂商已发布安全版本，请受影响的客户及时下载更新至安全版本：https://rubyonrails.org/

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5418

二、插件优化3个

1.优化HTTP响应缺失或配置错误检测方式

2.优化Kafka Manager未授权访问漏洞检测方式

3.优化Xiuno BBS 重装漏洞检测方式

以上插件更新、优化来源于创宇安全智脑大数据分析平台，对近期漏洞利用情况及利用方式分析后做出的优化更新，同时支持WebSOC系列。