1、产品描述:Apache旗下的Commons Text组件,用于执行各种文本操作,例如转义、计算字符串差异以及用通过插值器查找的值替换文本中的占位符。
2、影响产品或组件及版本:1.5 <= Apache Commons Text <= 1.9
3、受影响资产情况:美国(2365383578)、中国(339705789) 、加拿大(306304120)
4、技术细节表述:Apache Commons Text 是一个专注于处理字符串的算法的组件。在1.5-1.9版本中,若StringSubstitutor处理的字符串可控,攻击者则可通过该缺陷在受害者机器上执行任意代码。
5、修补措施:目前该漏洞已经修复,受影响用户可以升级到Apache Commons Text 1.10.0。下载链接:https://commons.apache.org/proper/commons-text/download_text.cgi
6、检测规则:检测到形如“script:Javascript:”关键词退出逻辑代码
7、漏洞来源:https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论