近日,亚信安全CERT监控到Apache Commons Configuration2存在远程代码执行漏洞(CVE-2022-33980),该漏洞源于Apache Commons Configuration2执行变量interpolation时,允许动态评估和扩展属性。interpolation的标准格式是“${prefix:name}”,其中“prefix”用于定位执行interpolation的 org.apache.commons.configuration2.interpol.Lookup的实例。从2.4版到2.7版,默认的Lookup实例可能导致任意代码执行或远程连接服务器。
近日,亚信安全CERT监控到Apache Commons Configuration2存在远程代码执行漏洞(CVE-2022-33980),该漏洞源于Apache Commons Configuration2执行变量interpolation时,允许动态评估和扩展属性。interpolation的标准格式是“${prefix:name}”,其中“prefix”用于定位执行interpolation的 org.apache.commons.configuration2.interpol.Lookup的实例。从2.4版到2.7版,默认的Lookup实例可能导致任意代码执行或远程连接服务器。
Apache Commons Configuration2是Apache基金会下的一个开源项目组件。它是一个java应用程序的配置管理工具,可以从properties或者xml文件中加载软件的配置信息,用来构建支撑软件运行的基础环境。
目前厂商已发布安全版本,鉴于该漏洞受影响面广大,亚信安全CERT建议使用Apache Commons Configuration2的用户尽快采取相关措施。
漏洞编号:
CVE-2022-33980
漏洞等级:
高危
漏洞状态:
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
未发现 | 已发现 | 未发现 | 未发现 |
受影响的版本:
Apache Commons Configuration 2.4 - Apache Commons Configuration 2.7
修复建议:
更新至安全版本Apache Commons Configuration 2.8.0:
下载地址:https://commons.apache.org/proper/commons-configuration/download_configuration.cgi
参考链接:
https://snyk.io/blog/cve-2022-33980-apache-commons-configuration-rce-vulnerability/
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s
