近日,亞信安全CERT監(jiān)控到Apache Commons Configuration2存在遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-33980),該漏洞源于Apache Commons Configuration2執(zhí)行變量interpolation時(shí),允許動(dòng)態(tài)評(píng)估和擴(kuò)展屬性。interpolation的標(biāo)準(zhǔn)格式是“${prefix:name}”,其中“prefix”用于定位執(zhí)行interpolation的 org.apache.commons.configuration2.interpol.Lookup的實(shí)例。從2.4版到2.7版,默認(rèn)的Lookup實(shí)例可能導(dǎo)致任意代碼執(zhí)行或遠(yuǎn)程連接服務(wù)器。
Apache Commons Configuration2是Apache基金會(huì)下的一個(gè)開源項(xiàng)目組件。它是一個(gè)java應(yīng)用程序的配置管理工具,可以從properties或者xml文件中加載軟件的配置信息,用來構(gòu)建支撐軟件運(yùn)行的基礎(chǔ)環(huán)境。
目前廠商已發(fā)布安全版本,鑒于該漏洞受影響面廣大,亞信安全CERT建議使用Apache Commons Configuration2的用戶盡快采取相關(guān)措施。
漏洞編號(hào):
CVE-2022-33980
漏洞等級(jí):
高危
漏洞狀態(tài):
漏洞細(xì)節(jié) | 漏洞PoC | 漏洞EXP | 在野利用 |
未發(fā)現(xiàn) | 已發(fā)現(xiàn) | 未發(fā)現(xiàn) | 未發(fā)現(xiàn) |
受影響的版本:
? Apache Commons Configuration 2.4 - Apache Commons Configuration 2.7
修復(fù)建議:
? 更新至安全版本Apache Commons Configuration 2.8.0:
下載地址:https://commons.apache.org/proper/commons-configuration/download_configuration.cgi
參考鏈接:
https://snyk.io/blog/cve-2022-33980-apache-commons-configuration-rce-vulnerability/
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s
-
2022-09-06
3911
-
網(wǎng)絡(luò)巨頭思科遭數(shù)據(jù)勒索:VPN訪問權(quán)限被......
2022-08-14
2693
-
2022-07-12
2771
-
護(hù)航產(chǎn)業(yè)互聯(lián),安全數(shù)字世界
2022-05-29
1276
-
2022-04-29
2598
-
如何化解 遠(yuǎn)程運(yùn)維 安全風(fēng)險(xiǎn)
2022-04-02
3760
-
2022-03-24
2585
-
2022-03-10
2696
-
俄羅斯核研究所被攻擊影響達(dá)40,000多......
2022-03-02
2516
-
高性能數(shù)據(jù)中心光纖產(chǎn)品解決方案-同方布線
2022-02-28
2765
熱門產(chǎn)品
交換路由
FW/ACG
布線材料
域.學(xué)院
購買咨詢
020-6107 3301
(周一至周六 9:00-18:00)
解決方案
網(wǎng)絡(luò)解決方案
安全解決方案
綜合布線解決方案
服務(wù)解決方案
