一、 漏洞介绍
近日,我司监测到Apache Common JXPath表达式解析漏洞(CVE-2022-41852),CVSS评分>=9.0。该漏洞是由于不安全地使用了JXPath解释不受信任的XPath表达式从而产生的远程代码执行漏洞。Common-jxpath是一个java库,是Xpath基于java语言的一种实现。
Apache Common JXPath表达式解析漏洞(CVE-2022-41852):该漏洞是由于不安全地使用了JXPath解释不受信任的Xpath表达式从而导致远程代码执行漏洞。除compile()和compilePath()函数外,所有处理Xpath字符串的JXPathContext类函数都容易受到攻击。攻击者可以使用Xpath表达式从类路径加载任何Java类,从而执行代码。
二、 危害影响
受影响版本:
commons-jxpath:commons-jxpath<=1.3
三、 修复建议
高危:目前利用代码已公开,官方暂未发布安全补丁,建议受影响用户及时通过临时缓
解措施缓解此漏洞的影响。
临时缓解措施:
该组件已停止维护,建议替换相同功能组件使用。
参考链接:
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论