【漏洞公告】

近日，监测到Apache Common JXPath表达式解析漏洞（CVE-2022-41852），CVSS评分>=9.0。该漏洞是由于不安全地使用了JXPath解释不受信任的XPath表达式从而产生的远程代码执行漏洞。此漏洞影响范围广泛，建议受影响的用户尽快采取安全措施。

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2022-41852

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133

【影响范围】

受影响版本：

commons-jxpath:commons-jxpath<=1.3

【漏洞描述】

common-jxpath是一个java库，是Xpath基于java语言的一种实现。

Apache Common JXPath表达式解析漏洞（CVE-2022-41852）：该漏洞是由于不安全地使用了JXPath解释不受信任的Xpath表达式从而导致远程代码执行漏洞。除compile（）和compilePath（）函数外，所有处理Xpath字符串的JXPathContext类函数都容易受到攻击。攻击者可以使用Xpath表达式从类路径加载任何Java类，从而执行代码。

【缓解措施】

高危：目前利用代码已公开，官方暂未发布安全补丁，建议受影响用户及时通过临时缓解措施缓解此漏洞的影响。

临时缓解措施：

该组件已停止维护，建议替换相同功能组件使用

参考链接：

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133