墨菲安全漏洞信息预警

今年的大型攻防演练打了快两周了，因为我们公司专注于做软件供应链安全方向，并且今年又做了不少关基的客户，所以我们为部分客户提供了防守支持，算是投了不少精力在这里面。

墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截，同时支持对高危漏洞实现基线管理，目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。

jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞（MPS-bjs4-n6dm）的影响范围和修复方法

企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞（ MPS-3mwt-574l）的影响范围和修复方法

jeecg-boot/积木报表基于SSTI的任意代码执行漏洞（MPS-4hzd-mb73 ）的影响范围和修复方法

墨菲安全的私有源网关产品可对npm、pip、maven等中央仓库的投毒事件进行实时的检测和拦截，同时支持对高危漏洞实现基线管理，目前该产品已在蚂蚁、小米、中国电信、中国移动等数十家客户落地应用。

漏洞描述 Smartbi是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。

漏洞描述 Apache Airflow Drill Provider 是 Apache Airflow 项目中的一个模块，用于提供与 Apache Drill 数据引擎的集成

本周安全态势综述 OSCS 社区共收录安全漏洞 11 个，公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞......

Zoom Desktop Client for Windows 5.14.5 之前版本由于对数据的真实性验证不足，经过身份验证的攻击者可通过网络访将权限升级为 SYSTEM 用户。

Microsoft Office Visio 受影响版本中，当解析攻击者恶意制作的Visio文件时，攻击者可以在应用程序上下文执行任意代码。

漏洞描述 Microsoft Exchange Server 是微软公司开发的一款邮件服务器。 Microsoft Exchange Server 受影响版本中，具有普通用户权限

漏洞描述 Microsoft Teams 是微软推出的一款团队协作平台，提供了聊天、通话、在线会议、文件共享等功能。

受影响的WPS Office 中嵌入的浏览器域名白名单机制存在设计缺陷。攻击者可以利用此漏洞创建恶意文件。

Apache Traffic Server（ATS）是一个开源的反向代理和缓存服务器。受影响版本中攻击者可利用漏洞对 Apache Traffic Server 进行访问控制、DOS 和缓存中毒攻击。

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服

CVE-2022-22475 漏洞是 IBM WebSphere Application Server Liberty 在启用 appSecurity-1.0、appSecurity-2.0、appS