Apache Commons BCEL越界写入漏洞CVE-2022-42920
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2022-42920
- 漏洞类型: 越界写入
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-20
- 更新时间:2023-03-20
漏洞简介
近日,深信服安全团队监测到一则 Apache Commons BCEL 组件存在越界写入漏洞的信息,漏洞编号:CVE-2022-42920,漏洞威胁等级:高危。
该漏洞是由于 Apache Commons BCEL 在6.6.0之前的版本中 ConstantPoolGen 类没有对写入常量池的常量数量进行限制导致越界写入。Apache Commons BCEL 中有很多 API ,通常只允许更改特定的类特性,由于存在越界写入问题,攻击者可利用这些 API 生成任意字节码,从而造成拒绝服务或任意代码执行。
漏洞公示
暂无
参考网站
https://nvd.nist.gov/vuln/detail/CVE-2022-42920
受影响实体
目前受影响的 Apache Commons BCEL 版本:
Apache Commons BCEL < 6.6.0
补丁
解决方案
如何检测组件版本
如果为 Maven 项目,可查看项目 pom.xml 文件中 org.apache.bcel 的 version 字段是否在受漏洞影响的范围内
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://commons.apache.org/proper/commons-bcel/download_bcel.cgi
