漏洞预警
2022年10 月 13 日,四叶草安全监测到Apache Commons Text 官方通过公开邮件列表发布安全公告,针对一处远程代码执行漏洞进行修复,漏洞编号为 CVE-2022-42889
https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
对此,四叶草安全建议广大用户及时将Apache Commons Text升级到最新版本,与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
详情信息
漏洞简介
Apache Commons Text 是一个专注于处理字符串的Java第三方开源库。
Apache Commons Text 受影响版本存在远程代码执行漏洞,因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器,攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。
影响版本
1.5 <= Apache Commons Text <= 1.9
漏洞复现
四叶草安全已成功进行漏洞复现,如下图:
修复方案
官方目前已经发布新版 1.10.0,用户可更新到此版本进行漏洞修复。
漏洞复现
四叶草安全web应用动态防护系统是基于新一代动态防护理念的web应用防护系统。
产品基于对目前攻防形势和攻防手段的认知,分析攻击特性,提炼攻击规律,针对网络攻击各阶段形成从事前预测、事中防护到事后溯源的全流程全周期防御理念。
此产品目前已支持此漏洞的检测,请及时更新产品特征库或联系产品区域负责人获取对应升级包。
若想了解更多产品信息或有相关业务需求,可移步至:
https://www.seclover.com/
参考链接
https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
四叶草安全
