开源漏洞预警

　　近日网上有关于开源项目Apache Commons Configuration远程代码执行漏洞 ，棱镜七彩安全研究院对漏洞进行了验证。

项目介绍

　　Apache Commons Configuration 是 Apache 基金会下的一个开源项目组件。它提供了一种通用的方式，让 Java 开发者可以使用统一的接口读取不同类型的配置文件。

项目地址

　　https://commons.apache.org/

代码托管地址

　　https://github.com/apache/commons-configuration

漏洞概述

　　该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷，攻击者可利用该漏洞在特定情况下，构造恶意数据执行远程代码。

影响版本

　　2.4 ≤ Apache Commons Configuration ≤ 2.7

Cve编号

　　CVE-2022-33980

修复方式

解决方案

　　如何检测组件系统版本

　　若项目使用 Maven 进行管理，可查看依赖中是否引用了 commons-configuration2，查看版本是否在受影响范围内：

　　<dependency>

　　<groupId>org.apache.commons</groupId>

　　<artifactId>commons-configuration2</artifactId>

　　<version>2.7</version>

　　</dependency>

　　或搜索是否包含如下 Jar 包，查看版本是否在受影响范围内：

修复方案

　　建议用户升级到 Apache Commons Configuration 2.8.0，默认情况下禁用有问题的插值器。

参考链接

　　https://commons.apache.org/proper/commons-configuration

　　https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s