【漏洞公告】
近日,监测到Apache Common JXPath表达式解析漏洞(CVE-2022-41852),CVSS评分>=9.0。该漏洞是由于不安全地使用了JXPath解释不受信任的XPath表达式从而产生的远程代码执行漏洞。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2022-41852
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133
【影响范围】
受影响版本:
commons-jxpath:commons-jxpath<=1.3
【漏洞描述】
common-jxpath是一个java库,是Xpath基于java语言的一种实现。
Apache Common JXPath表达式解析漏洞(CVE-2022-41852):该漏洞是由于不安全地使用了JXPath解释不受信任的Xpath表达式从而导致远程代码执行漏洞。除compile()和compilePath()函数外,所有处理Xpath字符串的JXPathContext类函数都容易受到攻击。攻击者可以使用Xpath表达式从类路径加载任何Java类,从而执行代码。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 已公开 | 未知 |
【缓解措施】
高危:目前利用代码已公开,官方暂未发布安全补丁,建议受影响用户及时通过临时缓解措施缓解此漏洞的影响。
临时缓解措施:
该组件已停止维护,建议替换相同功能组件使用
参考链接:
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133
