Apache Commons远程代码执行漏洞

Apache Commons是Apache软件基金会的项目。

Apache Commons存在远程代码执行漏洞，攻击者可利用该漏洞通过注入攻击执行恶意代码、向网站写webshell、控制整个网站甚至服务器。Apache Commons Configuration 执行变量插值，允许动态评估和扩展属性。插值的标准格式是“${prefix:name}”，其中“prefix”用于定位执行插值的 org.apache.commons.configuration2.interpol.Lookup 的实例。从 2.4 版到 2.7 版，默认的 Lookup 实例集包括可能导致任意代码执行或与远程服务器联系的插值器。这些查找是：- "script" - 使用 JVM 脚本执行引擎 (javax.script) 执行表达式- “dns” - 解析 dns 记录- “url” - 从 url 加载值，包括从远程服务器

CVE ID：CVE-2022-33980

危害级别：高

漏洞类型：通用型漏洞

影响产品：Apache Commons >2.4，<2.7

漏洞解决方案：厂商已发布了漏洞修复程序，请及时关注更新：（升级到 Apache Commons Configuration 2.8.0 版本）
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s

点个关注：

发布结果公告信息之前，我们决定声明力争保证每条公告的和建议。同时，采纳和实施公告中的则完全由用户自己决定，可能出现的问题也完全由用户承担。采纳您的建议，您提出您的个人或企业的决策，您应考虑其或个人或您的企业的策略和流程。

原文始发于微信公众号（漏洞更新）：Apache Commons远程代码执行漏洞