近日,亚信安全CERT监控到Apache Commons Configuration2存在远程代码执行漏洞(CVE-2022-33980),该漏洞源于Apache Commons Configuration2执行变量interpolation时,允许动态评估和扩展属性。interpolation的标准格式是“${prefix:name}”,其中“prefix”用于定位执行interpolation的 org.apache.commons.configuration2.interpol.Lookup...
近日,亚信安全CERT监控到Apache Commons Configuration2存在远程代码执行漏洞(CVE-2022-33980),该漏洞源于Apache Commons Configuration2执行变量interpolation时,允许动态评估和扩展属性。interpolation的标准格式是“${prefix:name}”,其中“prefix”用于定位执行interpolation的 org.apache.commons.configuration2.interpol.Lookup...
Apache Commons Configuration是一个通用的配置接口,主要用于使Java应用程序从多种来源读取配置数据。然而,在Apache Commons Configuration的2.0到2.10.1版本中,存在越界写入漏洞(CVE-2024-29133)。攻击者可以利用该漏洞通过发送特制的请求,在系统上执行任意代码。 2. 漏洞原因 越界写入漏洞通常发生在当程序尝试将数据写入...
近日,亚信安全CERT监控到Apache Commons Configuration2存在远程代码执行漏洞(CVE-2022-33980),该漏洞源于Apache Commons Configuration2执行变量interpolation时,允许动态评估和扩展属性。interpolation的标准格式是“${prefix:name}”,其中“prefix”用于定位执行interpolation的 org.apache.commons.configuration2...
https://commons.apache.org/ 代码托管地址 https://github.com/apache/commons-configuration 漏洞概述 该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。影响版本 2.4 ≤ Apache Commons Configuration ≤ 2.7 Cve编号...
使用该版本组件的应用程序理论上都会存在该漏洞,只是传入参数的难易程度决定了漏洞的利用情况。 本地POC链接见附录。 package main; import org.apache.commons.configuration2.interpol.ConfigurationInterpolator; import org.apache.commons.configuration2.interpol.InterpolatorSpecification; ...
commons.apache.org/ 代码托管地址 github.com/apache/commo 漏洞概述 该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。 影响版本 2.4 ≤ Apache Commons Configuration ≤ 2.7 Cve编号 CVE-2022-33980 修复方式 解决方案...
Apache Commons Configuration 是用于管理配置文件的组件,在 2.8 以前的部分版本中支持了多种变量取值方式,包括 javax.script、dns 和 url,导致可以执行任意代码或进行网络访问。 漏洞影响等级:中危 利用成本:高 受影响组件: org.apache.commons:commons-configuration2 ...
https://commons.apache.org/ 代码托管地址 https://github.com/apache/commons-configuration 漏洞概述 该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。 影响版本 ...
Apache Commons Configuration 是用于管理配置文件的组件,在 2.8 以前的部分版本中支持了多种变量取值方式,包括 javax.script、dns 和 url,导致可以执行任意代码或进行网络访问。 漏洞影响等级:中危利用成本:高受影响组件: org.apache.commons:commons-configuration2 ...