浅谈Apache Commons Text RCE(CVE-2022-42889)

文章预览

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“ 亿人 安全 “ 设为星标 ”， 否则可能就看不到了啦 原文由作者授权，首发在奇安信攻防社区 https://forum.butian.net/share/1973 Apache Commons Text是一款处理字符串和文本块的开源项目。其受影响版本存在远程代码执行漏洞，因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator，导致攻击者可利用该漏洞进行远程代码执行，甚至接管服务所在服务器。 0x01 漏洞描述 Apache Commons Text是一款处理字符串和文本块的开源项目。其受影响版本存在远程代码执行漏洞，因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator，如 script- 使用 JVM 脚本执行引擎 (javax.script) 执行表达式 dns - 解析 dns 记录 url - 从 url 加 ………………………………