一、背景介绍
近日,市委网信办技术支撑单位监测到网上公开披露了一个 Apache Commons JXPath 远程代码执行漏洞(CVE-2022-41852)。
1.1 漏洞描述
commons-jxpath 是一个 java 库,为 Xpath 基于 java 语言的一种实现,目前该组件已停止维护。由于 JXPath 对用户输入的内容验证存在缺陷,未经身份验证的远程攻击者可通过 XPath 表达式从类路径加载任意的 Java 类,从而实现远程代码执行。除 compile()与 compilePath()函数外,所有处理 XPath 字符串的 JXPathContext 类函数均存在该漏洞。
1.2 漏洞编号
CVE-2022-41852
1.3 漏洞等级
高危
二、修复建议
2.1 受影响版本
0 <= commons-jxpath <= 1.3
2.2 修复建议
目前该组件已停止维护,建议用户使用相同功能组件来进行替换。