近日,持续攻击管理平台供应商Assetnote在官网上公布最新研究:在开源内容管理系统dotCMS中发现一个Pre-auth远程代码执行漏洞,编号为CVE-2022-26352,该系统使用者在上传文件时可能会遭到目录遍历攻击。
Assetnote表示,攻击者可以将任意文件上传到系统。通过上传一个JSP文件到tomcat的根目录,可以实现代码执行,从而导致命令执行,最终导致攻击者可以在底层系统上执行任意命令。dotCMS在今年2月得到了Assetnote关于该漏洞的报告,目前已经在22.03、5.3.8.10和21.06.7升级版本中完成修复。
据了解,已有70多个国家/地区超过10,000名用户正在使用dotCMS提供的开源内容进行研发。
开源浪潮下暗藏安全问题
开源浪潮席卷全球,为成百上千万的开发人员带来便利。软件开发需求与日俱增,带动开源软件、开源社区、开源管理等产品、应用及平台快速发展。
在我国,企业正从信息化改造向数字化转型迈进,硬件厂商积极拥抱软件,能源、金融、交通等更多行业领域对软件提出诉求,“软件定义”是现阶段最鲜明的特点之一。其中,基础软件、工业软件、新兴平台软件大多基于开源,开源软件已经成为软件产业创新源泉和“标准件库”。
近年,政策层面加大对开源软件的扶持力度,同时也开始加强对安全侧面的重视程度。2021年11月,工业和信息化部发布《“十四五”软件和信息技术服务业发展规划》(以下简称《规划》),《规划》提出,要开展软件数据安全、内容安全评估审查,加强软件源代码检测和安全漏洞管理能力,提升开源代码、第三方代码使用的安全风险防控能力。
中国数字经济进入发展爆发期,为了应对复杂多变的网络安全漏洞风险,赛宁网安推出漏洞扫描平台,为用户提供全面的漏洞管理能力:
赛宁产品:漏洞扫描平台
产品功能:
资产自动发现和识别;
漏洞自动化挖掘;
漏洞风险量化;
漏洞修补建议;
自动生成漏洞报告。
产品优势:
核心技术源于清华大学蓝莲花战队,实战能力全球领先;
支持软件形态和分布式部署;
与国际国内权威漏洞库实时同步,漏洞数量180000+;
扫描目标全面,包含国产化操作系统、10000+IoT设备及600000+检测项;
开放全功能API,轻松接入SOC/SOAR等安全运营平台。
赛宁网安凭借多年漏洞分析能力和经验积累,打造出全面、准确 、合规、易用的电信级漏洞风险扫描平台,让漏洞无处遁形!
