1.产品描述：

BCEL（Apache Commons BCEL）™旨在为用户提供 分析、创建和操作的便捷方法（二进制） Java 类文件（以 .class 结尾的文件）。

BCEL已经在几个项目中成功使用，例如 作为编译器、优化器、混淆器、代码生成器 和分析工具。不幸的是，没有太多的发展 在过去的几年里。随时提供帮助或您可能想在objectweb上查看ASM项目。

2.影响产品或组件及版本：

Apache Commons BCEL < 6.6.0

3.受影响资产情况：

该产品为框架组件，无法通过资产测绘系统搜索相关资产

4.技术细节表述：

ConstantPoolGen不限制它写入常量池的常量数量，如果攻击者可以传递任意数据给此API则会使攻击者对产生的字节码有比预期更多的控制，造成越界写入字节码。严重情况可能导致攻击者执行任意代码，甚至接管服务器。

5.修补措施：

厂商已发布了漏洞修复程序，安全版本：Apache Commons BCEL >= 6.6.0

最新版官方下载链接：https://commons.apache.org/proper/commons-bcel/download_bcel.cgi

6.漏洞来源：

https://vip.riskivy.com/detail/1589445263183974400