漏洞预警|Apache Commons Text 远程代码执行漏洞
棱镜七彩安全预警
近日网上有关于开源项目Apache Commons Text 远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Commons Text是一款处理字符串和文本块的开源项目。
项目主页
https://commons.apache.org/text/
代码托管地址
https://github.com/apache/commons-text
CVE编号
漏洞情况
Apache Commons Text是一款处理字符串和文本块的开源项目。
Apache Commons Text 受影响版本存在远程代码执行漏洞,因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器,如
- “script”- 使用 JVM 脚本执行引擎 (javax.script) 执行表达式
- “dns” - 解析 dns 记录
- “url” - 从 url 加载值。
攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。
受影响的版本
org.apache.commons:commons-text@[1.5, 1.10.0)
修复方案
禁用“script”、“dns”、“url”插值器
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2022-42889
https://github.com/apache/commons-text/pull/341
https://github.com/apache/commons-text/commit/b9b40b903e2d1f9935039803c9852439576780ea
