【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

admin 2022年11月9日00:59:54安全漏洞评论102 views928字阅读3分5秒阅读模式
【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

漏洞名称:

Apache Commons BCEL越界写入漏洞

组件名称:

Apache Commons BCEL

影响范围:

Apache Commons BCEL < 6.6.0

漏洞类型:

越界写入

利用条件:

1、用户认证:未知
2、前置条件:默认配置
3、触发方式:远程

综合评价:

<综合评定利用难度>:未知

<综合评定威胁等级>:高危,能造成远程代码执行。


漏洞分析

【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

组件介绍

Apache Commons BCEL 是一个为用户提供分析、创建和操作(二进制)Java 类文件的工程库。

【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

漏洞简介

近日,深信服安全团队监测到一则 Apache Commons BCEL 组件存在越界写入漏洞的信息,漏洞编号:CVE-2022-42920,漏洞威胁等级:高危。


该漏洞是由于 Apache Commons BCEL 在6.6.0之前的版本中 ConstantPoolGen 类没有对写入常量池的常量数量进行限制导致越界写入。Apache Commons BCEL 中有很多 API ,通常只允许更改特定的类特性,由于存在越界写入问题,攻击者可利用这些 API 生成任意字节码,从而造成拒绝服务或任意代码执行。

影响范围

目前受影响的 Apache Commons BCEL 版本:

Apache Commons BCEL < 6.6.0

解决方案

【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

如何检测组件版本


如果为 Maven 项目,可查看项目 pom.xml 文件中 org.apache.bcel 的 version 字段是否在受漏洞影响的范围内:


【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920
【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://commons.apache.org/proper/commons-bcel/download_bcel.cgi

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2022-42920

时间轴


2022/11/8

深信服监测到 Apache Commons BCEL 越界写入漏洞信息。

2022/11/8

深信服千里目安全技术中心发布漏洞通告。


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920



原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月9日00:59:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞通告】Apache Commons BCEL越界写入漏洞CVE-2022-42920 http://cn-sec.com/archives/1399302.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: