【漏洞预警】Apache Commons BCEL 越界写入漏洞
(CVE-2022-42920)
北京华顺信安信息技术有限公司
2022年11月9日
目录
一、 漏洞综述
| 漏洞名称 |
Apache Commons BCEL 越界写入漏洞 |
||
| 漏洞类型 |
越界写入漏洞 |
漏洞编号 |
CVE-2022-42920 |
| 漏洞等级 |
严重 |
漏洞评分 |
9.8 |
| 相关厂商 |
Apache |
相关组件 |
Apache Commons BCEL |
| 报告编号 |
HSXA-VR-202257 |
报告日期 |
2022年11月9日 |
| 报告作者 |
华顺信安 |
联系方式 |
|
| 提供方 |
北京华顺信安信息技术有限公司 |
二、 漏洞概述
Apache Commons BCEL是一个JAVA字节码操作库, 旨在为用户提供一种方便的方法来分析、创建和操作(二进制)Java 类文件(以 .class 结尾的文件)。
Apache Commons BCEL 在 6.6.0 之前的版本中,由于 ConstantPoolGen 类没有对写入常量池的常量数量进行限制,导致内存越界写入漏洞,攻击者可利用 Apache Commons BCEL中修改 Java 类的 API生成任意字节码,造成程序拒绝服务或任意代码执行。
三、 影响范围
本次漏洞影响范围如下:
| Apache Commons BCEL - Apache < 6.6.0 |
四、 修复建议
官方已经针对漏洞发布了版本更新,用户可升级org.apache.bcel到6.6.0及以上版本,下载地址:https://commons.apache.org/proper/commons-bcel/download_bcel.cgi
五、 参考链接
[1.] https://lists.apache.org/thread/lfxk7q8qmnh5bt9jm6nmjlv5hsxjhrz4
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
![[CVE-2022-43766]Apache IoTDB拒绝服务攻击](/d/file/p/2022/12-13/d6ac41b38d0dbeaa7db8321bbd235e8d.gif)
评论