漏洞预警|Apache Commons Text 远程代码执行漏洞 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

漏洞预警|Apache Commons Text 远程代码执行漏洞

棱镜七彩 行业 2022-10-14 14:16:34
收藏

导语:近日网上有关于开源项目Apache Commons Text 远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应

棱镜七彩安全预警

近日网上有关于开源项目Apache Commons Text  远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Commons Text是一款处理字符串和文本块的开源项目。

项目主页

https://commons.apache.org/text/

代码托管地址

https://github.com/apache/commons-text

CVE编号

CVE-2022-42889

漏洞情况

Apache Commons Text是一款处理字符串和文本块的开源项目。

Apache Commons Text 受影响版本存在远程代码执行漏洞,因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器,如

- “script”- 使用 JVM 脚本执行引擎 (javax.script) 执行表达式

- “dns” - 解析 dns 记录

- “url” - 从 url 加载值。

攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。

受影响的版本

org.apache.commons:commons-text@[1.5, 1.10.0)

修复方案

禁用“script”、“dns”、“url”插值器

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2022-42889

https://github.com/apache/commons-text/pull/341

https://github.com/apache/commons-text/commit/b9b40b903e2d1f9935039803c9852439576780ea


如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务