1.产品描述:
BCEL(Apache Commons BCEL)™旨在为用户提供 分析、创建和操作的便捷方法(二进制) Java 类文件(以 .class 结尾的文件)。
BCEL已经在几个项目中成功使用,例如 作为编译器、优化器、混淆器、代码生成器 和分析工具。不幸的是,没有太多的发展 在过去的几年里。随时提供帮助或您可能想在objectweb上查看ASM项目。
2.影响产品或组件及版本:
Apache Commons BCEL < 6.6.0
3.受影响资产情况:
该产品为框架组件,无法通过资产测绘系统搜索相关资产
4.技术细节表述:
ConstantPoolGen不限制它写入常量池的常量数量,如果攻击者可以传递任意数据给此API则会使攻击者对产生的字节码有比预期更多的控制,造成越界写入字节码。严重情况可能导致攻击者执行任意代码,甚至接管服务器。
5.修补措施:
厂商已发布了漏洞修复程序,安全版本:Apache Commons BCEL >= 6.6.0
最新版官方下载链接:https://commons.apache.org/proper/commons-bcel/download_bcel.cgi
6.漏洞来源:
https://vip.riskivy.com/detail/1589445263183974400
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论