Apache Commons Configuration远程代码执行漏洞 CVE-2022-33980
- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:CVE-2022-33980
- 漏洞类型: 远程代码执行
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-20
- 更新时间:2023-03-20
漏洞简介
近日,深信服安全团队监测到一则 Apache Commons Configuration 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2022-33980,漏洞威胁等级:高危。
该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。
漏洞公示
暂无
参考网站
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s
受影响实体
目前受影响的 Apache Commons Configuration 版本:
2.4 ≤ Apache Commons Configuration ≤ 2.7
补丁
解决方案
1.如何检测组件系统版本
若项目使用 Maven 进行管理,可查看依赖中是否引用了 commons-configuration2,查看版本是否在受影响范围内:
<dependency><groupId>org.apache.commons</groupId><artifactId>commons-configuration2</artifactId><version>2.7</version></dependency>
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://commons.apache.org/proper/commons-configuration
