【漏洞预警】Apache Common JXPath 表达式解析漏洞风险提示 |
|
【漏洞公告】 近日,监测到Apache Common JXPath表达式解析漏洞(CVE-2022-41852),CVSS评分>=9.0。该漏洞是由于不安全地使用了JXPath解释不受信任的XPath表达式从而产生的远程代码执行漏洞。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。 参考链接: https://nvd.nist.gov/vuln/detail/CVE-2022-41852 https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133
【影响范围】 受影响版本: commons-jxpath:commons-jxpath<=1.3
【漏洞描述】 common-jxpath是一个java库,是Xpath基于java语言的一种实现。 Apache Common JXPath表达式解析漏洞(CVE-2022-41852):该漏洞是由于不安全地使用了JXPath解释不受信任的Xpath表达式从而导致远程代码执行漏洞。除compile()和compilePath()函数外,所有处理Xpath字符串的JXPathContext类函数都容易受到攻击。攻击者可以使用Xpath表达式从类路径加载任何Java类,从而执行代码。
【缓解措施】 高危:目前利用代码已公开,官方暂未发布安全补丁,建议受影响用户及时通过临时缓解措施缓解此漏洞的影响。 临时缓解措施: 该组件已停止维护,建议替换相同功能组件使用 参考链接: https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133
|
||||||||
Copyright © 2014 East China University Science and Technology. All rights reserved 版权所有 © 2014 华东理工大学信息化办公室 |