一、 漏洞介绍

近日，我司监测到Apache Common JXPath表达式解析漏洞（CVE-2022-41852），CVSS评分>=9.0。该漏洞是由于不安全地使用了JXPath解释不受信任的XPath表达式从而产生的远程代码执行漏洞。Common-jxpath是一个java库，是Xpath基于java语言的一种实现。

Apache Common JXPath表达式解析漏洞（CVE-2022-41852）：该漏洞是由于不安全地使用了JXPath解释不受信任的Xpath表达式从而导致远程代码执行漏洞。除compile（）和compilePath（）函数外，所有处理Xpath字符串的JXPathContext类函数都容易受到攻击。攻击者可以使用Xpath表达式从类路径加载任何Java类，从而执行代码。

二、 危害影响

受影响版本：

commons-jxpath:commons-jxpath<=1.3

三、 修复建议

高危：目前利用代码已公开，官方暂未发布安全补丁，建议受影响用户及时通过临时缓

解措施缓解此漏洞的影响。

临时缓解措施：

该组件已停止维护，建议替换相同功能组件使用。

参考链接：

       https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133