浅谈Apache Commons Text RCE（CVE-2022-42889）

文章预览

Apache Commons Text是一款处理字符串和文本块的开源项目。其受影响版本存在远程代码执行漏洞，因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator，导致攻击者可利用该漏洞进行远程代码执行，甚至接管服务所在服务器。 0x01 漏洞描述 Apache Commons Text是一款处理字符串和文本块的开源项目。其受影响版本存在远程代码执行漏洞，因为其默认使用的Lookup实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator，如 script- 使用 JVM 脚本执行引擎 (javax.script) 执行表达式 dns - 解析 dns 记录 url - 从 url 加载值。 攻击者可利用该漏洞进行远程代码执行，甚至接管服务所在服务器 。 1.1 影响版本 1.5.0 < Apache Commons Text < 1.10.0 1.2 利用条件 使用了StringSubstitutor.createInterpolator.replace()方式去解析用户输 ………………………………