一、漏洞概要
漏洞名称 |
Apache Commons BCEL越界写入漏洞 (CVE-2022-42920) |
发布时间 |
2022年11月8日 |
组件名称 |
Apache Commons BCEL |
影响范围 |
Apache Commons BCEL < 6.6.0 |
漏洞类型 |
越界写入 |
利用条件 |
1、用户认证:未知 |
综合评价 |
<综合评定利用难度>:中等。 <综合评定威胁等级>:高危,能造成远程代码执行。 |
二、漏洞分析
2.1 组件介绍
Apache Commons BCEL是一个为用户提供分析、创建和操作(二进制)Java 类文件的工程库。
2.2 漏洞描述
近日,深信服安全团队监测到一则Apache Commons BCEL组件存在越界写入漏洞的信息,漏洞编号:CVE-2022-42920,漏洞威胁等级:高危。
该漏洞是由于Apache Commons BCEL在6.6.0之前的版本中ConstantPoolGen 类没有对写入常量池的常量数量进行限制导致越界写入。Apache Commons BCEL中有很多API,通常只允许更改特定的类特性,由于存在越界写入问题,攻击者可利用这些API生成任意字节码,从而造成拒绝服务或任意代码执行。
三、影响范围
目前受影响的Apache Commons BCEL版本:
Apache Commons BCEL < 6.6.0
四、解决方案
4.1 修复建议
1.如何检测组件系统版本
在java项目的pom.xml中查看:
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://commons.apache.org/proper/commons-bcel/download_bcel.cgi
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论