近日,Apache官方发布了关于Apache Commons Configuration远程代码执行漏洞(CVE-2022-33980)的安全公告。据公告描述,该漏洞是由于Apache Commons Configuration提供的Configuration变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。 Apache Commons Configuration执行变量插值(Variable Interpolation)允许...
<finalName>CVE-2022-33980-poc</finalName> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>28 changes: 28 additions & 0 deletions 28 src/main/java/org/example/start/ShellPOC.java ...
<artifactId>commons-configuration2</artifactId> <version>2.7</version> </dependency> </dependencies> <build> <finalName>CVE-2022-33980-poc</finalName> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </...
漏洞分析如上图为漏洞的POC,使用java.lang.Runtime.getRuntime()的exec()方法进行任意命令执行。
String poc2 = “script:javascript:java.lang.Runtime.getRuntime().exec(\”touch /tmp/tarlogic\”)”; String rce2 = StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup(poc2); Detection of Text4Shell CVE-2022-42889 vulnerability – Exploit ...
src=csdn漏洞概述7月18日,OSCS 监测到 Apache 发布安全公告,修复了一个 Apache Spark UI 中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危。Apache spark apache 开源软件 原创 OSCS社区 2022-07-19 19:06:25...
Apache多个组件漏洞公开(CVE-2022-32533/CVE-2022-33980/CVE-2021-37839) OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见: https://www.oscs1024.com/?src=wx7月6日,OSCS监测到Apache基金会旗下多个项目漏洞公开,请相应组件用户...
CVE-2022-33980 Apache Commons Configuration 远程命令执行漏洞 CVE-2022-31101:PrestaShop bockwishlist module 2.1.0 SQLi CVE-2022-30525:CVE-2022-30525 Zyxel 防火墙命令注入漏洞 POC&EXPC CVE-2022-2185:gitlab 远程代码执行(需要身份验证) CVE-2022-27925-PoC:Zimbra Collaboration 存在路径穿越漏洞最终导致RCE...
ZentaoSqli:Zentao v16.5 SQL注入漏洞 POC CVE-2022-36446-Webmin-Software-Package-Updates-RCE:Webmin 远程代码执行漏洞 CVE-2022-33980 Apache Commons Configuration 远程命令执行漏洞 CVE-2022-31101:PrestaShop bockwishlist module 2.1.0 SQLi CVE-2022-30525:CVE-2022-30525 Zyxel 防火墙命令注入漏洞 POC&EXPC...
近日,Apache官方发布了关于Apache Commons Configuration远程代码执行漏洞(CVE-2022-33980)的安全公告。据...