棱镜七彩安全团队发现 Apache Commons Text 存在远程代码执行漏洞(CVE-2022-42889),受影响版本为 1.5 至 1.10.0。攻击者可通过 'script'、'dns' 和 'url' 插值器执行恶意代码。建议禁用这些插值器以降低风险。
棱镜七彩安全预警
近日网上有关于开源项目Apache Commons Text 远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Commons Text是一款处理字符串和文本块的开源项目。
项目主页
代码托管地址
https://github.com/apache/commons-text
CVE编号
漏洞情况
Apache Commons Text是一款处理字符串和文本块的开源项目。
Apache Commons Text 受影响版本存在远程代码执行漏洞,因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器,如
- “script”- 使用 JVM 脚本执行引擎 (javax.script) 执行表达式
- “dns” - 解析 dns 记录
- “url” - 从 url 加载值。
攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。
受影响的版本
org.apache.commons:commons-text@[1.5, 1.10.0)
修复方案
禁用“script”、“dns”、“url”插值器
链接地址:
https://github.com/apache/commons-text/pull/341
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
