2022年7月8日04:50:11评论210 views字数 741阅读2分28秒阅读模式

【漏洞通告】Apache Commons远程代码执行漏洞( CVE-2022-33980 )

漏洞名称：

Apache Commons远程代码执行漏洞

组件名称：

Apache Commons Configuration

影响范围：

Apache Commons >2.4，<2.7

漏洞类型：

远程代码执行

利用条件：

1、用户认证：不需要认证
2、前置条件：默认配置

3、触发方式：远程

漏洞分析

组件介绍

Apache Commons是Apache软件基金会的项目。曾隶属于Jakarta项目。Commons的目的是提供可重用的、开源的Java代码。

漏洞描述

Apache Commons存在远程代码执行漏洞，攻击者可利用该漏洞通过注入攻击执行恶意代码、向网站写webshell、控制整个网站甚至服务器。

修复建议

官方修复建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s

临时修复建议

升级到 Apache Commons Configuration 2.8.0 版本

声明

本安全公告仅用来描述可能存在的安全问题，云科攻防实验室不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，云科攻防实验室以及安全公告作者不为此承担任何责任。
云科攻防实验室拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经云科攻防实验室允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

【漏洞通告】Apache Commons远程代码执行漏洞( CVE-2022-33980 )

原文始发于微信公众号（云科攻防实验室）：【漏洞通告】Apache Commons远程代码执行漏洞( CVE-2022-33980 )

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】Apache Commons远程代码执行漏洞( CVE-2022-33980 )

远程代码执行

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

Couchdb垂直权限绕过(CVE-2017-12635)

Couchdb任意命令执行漏洞 (CVE-2017-12636)

CVE-2022-22947-spring-gateway RCE

Weblogic 反序列化漏洞（CVE-2019-2729）

JumpServer 任意文件读取漏洞（CVE-2023-42819）

用友GPR-U8 slbmbygr SQL注入漏洞

发表评论

在线咨询

微信