漏洞预警|Apache Commons Text 远程代码执行漏洞

棱镜七彩行业 2022-10-14 14:16:34

252032

导语：近日网上有关于开源项目Apache Commons Text 远程代码执行漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应

棱镜七彩安全预警

近日网上有关于开源项目Apache Commons Text 远程代码执行漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

Apache Commons Text是一款处理字符串和文本块的开源项目。

项目主页

https://commons.apache.org/text/

代码托管地址

https://github.com/apache/commons-text

CVE编号

CVE-2022-42889

漏洞情况

Apache Commons Text是一款处理字符串和文本块的开源项目。

Apache Commons Text 受影响版本存在远程代码执行漏洞，因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器，如

- “script”- 使用 JVM 脚本执行引擎 (javax.script) 执行表达式

- “dns” - 解析 dns 记录

- “url” - 从 url 加载值。

攻击者可利用该漏洞进行远程代码执行，甚至接管服务所在服务器。

受影响的版本

org.apache.commons:commons-text@[1.5, 1.10.0)

修复方案

禁用“script”、“dns”、“url”插值器

链接地址：

https://nvd.nist.gov/vuln/detail/CVE-2022-42889

如若转载，请注明原文地址

感谢您的支持，我会继续努力的!

打开微信扫一扫后点击右上角即可分享哟