【CVE-2022-42889】Apache Commons Text RCE 介绍 组件介绍 Apache Commons Text组件通常在开发过程中用于占位符和动态获取属性的字符串编辑工具包,Demo举例: idea创建Maven项目,导入如下依赖: 运行测试代码 只有当软件使用StringSubstitutor API而没有正确处理任何不受信任的输入时才会受到攻击。apache推荐的解决方案是“...
根据apache官方给出的说明介绍到Apache Commons Text执行变量插值,允许动态评估和扩展属性的一款工具包,插值的标准格式是"${prefix:name}",其中"prefix"是用于定位org.apache.commons.text.lookup类,执行插值的是StringLookup接口,接口中定义了lookup方法。在1.5到1.9的版本中,默认的Lookup实例集包括可以导致任意代码执行...
问CVE-2022-42889漏洞EN“不过,我们正积极致力于将易受攻击的依赖版本升级至非易损版本,以减低软件组...
漏洞编号: CVE-2022-42889) 漏洞名称: Apache Commons Text 受影响版本中存在任意代码执行漏洞(CVE-2022-42889) 产品型号及版本: 不涉及 漏洞描述 近日,Apache Commons Text 受影响版本中存在任意代码执行漏洞(CVE-2022-42889)。在Apache Commons Text 1.10.0 版本之前,允许对文本进行相关的变量解析,在1.5 ~...
2022年10月13号,官方发布了Apache Commons Text的漏洞通告,漏洞编号:CVE-2022-42889。Apache Commons Text 执行变量插值,允许动态评估和扩展属性。插值的标准格式是“${prefix:name}”,其中“prefix”用于定位执行插值的。org.apache.commons.text.lookup.StringLookup 的实例。从 1.5 版到 1.9 版,攻击者可构造恶意...
近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Commons Text中的一个任意代码执行漏洞(cve-2022-42889),新华三攻防实验室建议用户更新Apache Commons Text到最新的安全版本避免遭受攻击。 1.2漏洞详情 该漏洞由于Apache Commons Text的StringSubstitutor功能的replace方法存在对输入的数据进行字符串...
浅谈Apache Commons Text RCE(CVE-2022-42889) Apache Commons Text是一款处理字符串和文本块的开源项目。其受影响版本存在远程代码执行漏洞,因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator,导致攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。
近日,新华三攻防实验室威胁预警团队监测到Apache官方发布了安全公告,修复了Commons Text中的一个任意代码执行漏洞(cve-2022-42889),新华三攻防实验室建议用户更新Apache Commons Text到最新的安全版本避免遭受攻击。 1.2漏洞详情 该漏洞由于Apache Commons Text的StringSubstitutor功能的replace方法存在对输入的数据进行字符串...
浅谈Apache Commons Text RCE(CVE-2022-42889) Apache Commons Text是一款处理字符串和文本块的开源项目。其受影响版本存在远程代码执行漏洞,因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator,导致攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。
2022年10月13号,官方发布了Apache Commons Text的漏洞通告,漏洞编号:CVE-2022-42889。Apache Commons Text 执行变量插值,允许动态评估和扩展属性。插值的标准格式是“${prefix:name}”,其中“prefix”用于定位执行插值的。 org.apache.commons.text.lookup.StringLookup 的实例。从 1.5 版到 1.9 版,攻击者可构造恶意...