Apache Commons Text
远程代码执行漏洞
(CVE-2022-42889)
10 月 13 日,Apache Commons Text 官方通过公开邮件列表发布安全公告,针对一处远程代码执行漏洞进行修复,漏洞编号为 CVE-2022-42889:
https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
漏洞描述
Apache Commons Text 是一个专注于字符串算法的 Java 第三方开源库。Apache Commons Text 可以执行字符串变量插值替换,从而可以对字符串进行动态解析和扩展。
而从 1.5开始直到 1.9 版本,Apache Commons Text 在进行字符串变量插值解析替换时默认包含某些危险的 Lookup 实例机制,从而导致安全漏洞(CVE-2022-42889)。
当开发者使用 Apache Commons Text 对由外部用户输入的数据进行字符串动态解析替换时,攻击者可通过利用此漏洞,在目标服务器上造成远程代码执行、服务端请求伪造(SSRF)等危害。
影响范围
-
1.5 <= Apache Commons Text <= 1.9
解决方案
官方目前已经发布新版 1.10.0,用户可更新到此版本进行漏洞修复。
产品支持
牧云默认支持此 Java 依赖项的资产采集,对应的漏洞检测升级包已经在升级平台发布。
参考资料
-
https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
原文始发于微信公众号(长亭技术沙盒):漏洞风险提示 | Apache Commons Text 远程代码执行漏洞(CVE-2022-42889)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论