漏洞公告 | Apache Commons JXPath 存在代码执行漏洞

近日，华云安安全团队发现了Apache发布安全公告，Apache Commons JXPath中的安全漏洞。对此，华云安建议用户及时更新修复。

【漏洞名称】Apache Commons JXPath 存在代码执行漏洞

【漏洞编号】CVE-2022-41852

【风险等级】高危

【影响版本】

  commons-jxpath <= 1.3

【威胁描述】

该漏洞是由于使用 JXPath 来解释不受信任的 XPath 表达式，这可能容易受到远程代码执行攻击。除了 compile() 和 compilePath() 函数之外，所有处理 XPath 字符串的 JXPathContext 类函数都容易受到攻击，攻击者可以使用 XPath 表达式从类路径加载任何 Java 类，从而导致代码执行。

【应对措施】

官方已发布更新修复，参考链接如下：

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133