产品描述

Apache Commons BCEL 在 6.6.0 之前的版本中，由于 ConstantPoolGen 类没有对写入常量池的常量数量进行限制，导致内存越界写入漏洞，攻击者可利用 Apache Commons BCEL中修改 Java 类的 API生成任意字节码，造成程序拒绝服务或任意代码执行。

影响产品或组件

Apache Commons BCEL - Apache

<6.6.0

漏洞描述

Apache Commons BCEL是一个JAVA字节码操作库， 旨在为用户提供一种方便的方法来分析、创建和操作（二进制）Java 类文件（以 .class 结尾的文件）。

整改建议

升级org.apache.bcel到6.6.0及以上版本

下载地址：https://commons.apache.org/proper/commons-bcel/download_bcel.cgi

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

来源

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-42920

https://www.suse.com/zh-cn/security/cve/CVE-2022-42920.HTML