漏洞预警|Apache Commons Configuration远程代码执行漏洞

数据泄露
4月前

漏洞预警.jpg


开源漏洞预警


  近日网上有关于开源项目Apache Commons Configuration远程代码执行漏洞 ,棱镜七彩安全研究院对漏洞进行了验证。


项目介绍


  Apache Commons Configuration 是 Apache 基金会下的一个开源项目组件。它提供了一种通用的方式,让 Java 开发者可以使用统一的接口读取不同类型的配置文件。


项目地址

  https://commons.apache.org/


代码托管地址


  https://github.com/apache/commons-configuration


漏洞概述


  该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。


影响版本


  2.4 ≤ Apache Commons Configuration ≤ 2.7


Cve编号


  CVE-2022-33980


修复方式


解决方案


  如何检测组件系统版本

  若项目使用 Maven 进行管理,可查看依赖中是否引用了 commons-configuration2,查看版本是否在受影响范围内:

  <dependency>

  <groupId>org.apache.commons</groupId>

  <artifactId>commons-configuration2</artifactId>

  <version>2.7</version>

  </dependency>


  或搜索是否包含如下 Jar 包,查看版本是否在受影响范围内:

 


修复方案


  建议用户升级到 Apache Commons Configuration 2.8.0,默认情况下禁用有问题的插值器。


参考链接


  https://commons.apache.org/proper/commons-configuration

  https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s