【漏洞预警】Apache Commons BCEL 越界写入漏洞
(CVE-2022-42920)
北京华顺信安信息技术有限公司
2022年11月9日
目录
一、 漏洞综述
漏洞名称 |
Apache Commons BCEL 越界写入漏洞 |
||
漏洞类型 |
越界写入漏洞 |
漏洞编号 |
CVE-2022-42920 |
漏洞等级 |
严重 |
漏洞评分 |
9.8 |
相关厂商 |
Apache |
相关组件 |
Apache Commons BCEL |
报告编号 |
HSXA-VR-202257 |
报告日期 |
2022年11月9日 |
报告作者 |
华顺信安 |
联系方式 |
|
提供方 |
北京华顺信安信息技术有限公司 |
二、 漏洞概述
Apache Commons BCEL是一个JAVA字节码操作库, 旨在为用户提供一种方便的方法来分析、创建和操作(二进制)Java 类文件(以 .class 结尾的文件)。
Apache Commons BCEL 在 6.6.0 之前的版本中,由于 ConstantPoolGen 类没有对写入常量池的常量数量进行限制,导致内存越界写入漏洞,攻击者可利用 Apache Commons BCEL中修改 Java 类的 API生成任意字节码,造成程序拒绝服务或任意代码执行。
三、 影响范围
本次漏洞影响范围如下:
Apache Commons BCEL - Apache < 6.6.0 |
四、 修复建议
官方已经针对漏洞发布了版本更新,用户可升级org.apache.bcel到6.6.0及以上版本,下载地址:https://commons.apache.org/proper/commons-bcel/download_bcel.cgi
五、 参考链接
[1.] https://lists.apache.org/thread/lfxk7q8qmnh5bt9jm6nmjlv5hsxjhrz4
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论