Joomla 在海外使用较多，是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤，导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的...

Spring Cloud Gateway 是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时，可以通过http请求修改路由，路由中包含的恶意filter参数会...

如今，软件供应链安全问题已经成为一个全球性的难题。根据数据统计，2017年全球遭受网络攻击的公司比例已经达到了93％，其中很大一部分是由于软件供应链安全问题导致的。而在中国，据统计，2019年全国共发生了2.7万起网络安全事件，其中不乏因软件供应链安全问题而导...

2023年2月16日，首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办，多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席，为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。

近日，OpenAI推出的ChatGPT通过强大的AIGC（人工智能生产内容）能力让不少人认为AI的颠覆性拐点即将到来，基于AI将带来全新的软件产品体验，而AI也将会成为未来软件供应链中非常重要的一环。

系列简介：漏洞真实影响分析是墨菲安全实验室针对热点漏洞的分析系列文章，帮助企业开发者和安全从业者理清漏洞影响面、梳理真实影响场景，提升安全应急响应和漏洞治理工作效率。

1月5日，有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件，该组件存在收集配置信息和删除本地文件的恶意逻辑，当前 NPM 仓库已经下线了该组件。

在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞，由于未对InterpreterSettingManager类remove方法中id参数进行正确校验，攻击者可通过构造包含../的参数实现路径穿越，利用漏洞删除zeppelin相关或其他任意文件。

墨菲安全 2.0 产品 3 月份发布以来过去了 9 个月的时间，在这期间收获了超过 10000+ 开发者用户，700+ 的开源项目 star 以及包括蚂蚁、平安、快手等在内的数十个企业版客户；在这个过程中我们一共收集到 283 个用户给我们产品提交的 350 个反馈和建议。

距离公众号的第一篇文章过去了2个月了，最近一直在忙上产品3.0的事情，中间加上感染新冠，这篇文章前后也写了半个月，趁着这两天3.0产品大版本发布了，赶紧把这篇文章改好发出来，主要还是分享记录墨菲安全3.0产品的一些思考和心得。

2022年12月22日，Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞（CVE-2022-45347）。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时，由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息，攻击者可利用未...

本周安全态势综述OSCS 社区共收录安全漏洞10个，其中公开漏洞值得关注的是Apache Airflow Hive Provider <5.0.0 存在操作系统命令注入漏洞（CVE-2022-46421）vm2 < 3.9.10 存在任意代码执行漏洞（CVE-2022-25893）Foxit PDF Reader/Editor 任意代码执行漏洞（C...

本文整理自 OSCS 软件供应链安全技术论坛- 边立忠（京蛰）老师的分享《蚂蚁供应链安全建设实践》。边立忠，蚂蚁集团高级安全专家，蚂蚁集团应用安全产品中台负责人，主要负责蚂蚁 SCA、IAST、SAST、镜像安全扫描等供应链安全相关产品的建设和技术研究。

11月以来信息通信软件供应链安全社区开展了“软件供应链优秀成果案例”征集评审活动，在 12 月 16 日的结果公示中，墨菲安全软件供应链安全管理平台本次成功入选自主研发创新成果。这是对墨菲安全长期专注在软件供应链安全领域的成果认可，我们也将加强行业技术交流分...

OSCS 社区共收录安全漏洞15个，公开漏洞值得关注的是 Jenkins Google Login Plugin 存在开放重定向漏洞（CVE-2022-46683），Netty <4.1.86.Final 存在拒绝服务漏洞（CVE-2022-41881），Apache Atlas import 功能存在路径遍历漏洞（CVE-2022-34271），Apache Zeppe...

近日《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，《要求》中更是从管理机制建立、采购管理、网络产品和设备提供者的责任义务与产品及服务的风险控制方面对供应链安全提出了具体要求。

OSCS 软件供应链安全技术论坛是 OSCS 社区针对软件供应链安全主题开展的首场专业性技术论坛，首期论坛由 OSCS 社区创始成员墨菲安全发起，将于 10 月 29 日 在海淀中关村创业大街举办。

OSCS 作为一个开源软件供应链安全技术社区，已经为 dubbo、apollo、rocketmq、onedev、dataease 等 500+ 开源项目提交了安全漏洞修复的建议，社区成员超过 1w 开发者，为超过 5w 个开源项目，执行超过 30w 次开源安全检测，发现安全漏洞超 70w 。各大开源项目的安全...

近期美国和欧盟都发布了新的供应链安全相关要求法案，要求厂商评估供应链数字化产品的安全性，此举旨在保护供应链安全，防止SolarWinds 等安全事件的再次发生。

OneDev 是开源的一体化轻量DevOps平台，在OneDev 7.4.14及以前版本中存在路径遍历漏洞，具有项目管理权限的攻击者可以将恶意 jar 文件上传到 lib 目录，覆盖原有jar包，攻击者可利用此漏洞在服务器中写入任意文件或远程执行恶意代码。