NVD - CVE-2022-42889：Apache Commons爆9.8分高危险漏洞

1 year ago

source link: https://www.jdon.com/63004
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

CVE-2022-42889：Apache Commons爆9.8分高危险漏洞

解道Jdon

该漏洞已被修改，目前正在进行重新分析。请很快回来查看更新的漏洞摘要。

Apache Commons Text执行变量插值，允许属性被动态地评估和扩展。插值的标准格式是"${prefix:name}"，其中 "prefix "用于定位执行插值的org.apache.commons.text.lookup.StringLookup的一个实例。
从1.5版开始，一直到1.9版，默认的Lookup实例集包括可能导致任意代码执行或与远程服务器联系的插值器。
这些查找器是

- "script" - 使用JVM脚本执行引擎（javax.script）执行表达式
- "dns" - 解析dns记录
- "url" - 从urls加载值，包括从远程服务器加载值如果使用不受信任的配置值，

使用受影响版本的插值默认值的应用程序可能会受到远程代码执行或无意中与远程服务器接触的影响。建议用户升级到Apache Commons Text 1.10.0，该版本默认停用有问题的插值器。

Recommend

NVD - CVE-2022-42889：Apache Commons爆9.8分高危险漏洞

Recommend

用文字描述给黑白照上色，这个免费网站火了！网友：比其他同类都好用

《斯诺登》未删减在线免费观看-高分电影-雷神影院

GitHub - losvedir/transit-lang-cmp: Programming language comparison by reimpleme...

比较CPU和GPU中的矩阵计算

【Google Ads】谷歌广告设置订阅成功转化目标

10.24跨境周报：1.继可达鸭，肯德基又一玩具火出圈~2.汽油价格走高，英国人纷纷改骑单...

Shetland communication restored after subsea cable damage

5.5G首次亮相！MBBF2022主展区大揭秘华为太强了

“至少要找100家中国供应商询价”？！外贸老鸟揭秘外国客户询价套路，这4大方法立马爆单...

使用Nginx代理TCP或UDP

About Joyk