Apache Commons BCEL越界寫(xiě)入漏洞CVE-2022-42920
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2022-42920
  • 漏洞類型: 越界寫(xiě)入
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2023-03-20
  • 更新時(shí)間:2023-03-20

漏洞簡(jiǎn)介

近日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 Apache Commons BCEL 組件存在越界寫(xiě)入漏洞的信息,漏洞編號(hào):CVE-2022-42920,漏洞威脅等級(jí):高危。

該漏洞是由于 Apache Commons BCEL 在6.6.0之前的版本中 ConstantPoolGen 類沒(méi)有對(duì)寫(xiě)入常量池的常量數(shù)量進(jìn)行限制導(dǎo)致越界寫(xiě)入。Apache Commons BCEL 中有很多 API ,通常只允許更改特定的類特性,由于存在越界寫(xiě)入問(wèn)題,攻擊者可利用這些 API 生成任意字節(jié)碼,從而造成拒絕服務(wù)或任意代碼執(zhí)行。

漏洞公示

暫無(wú)

參考網(wǎng)站

https://nvd.nist.gov/vuln/detail/CVE-2022-42920

受影響實(shí)體

目前受影響的 Apache Commons BCEL 版本:
Apache Commons BCEL < 6.6.0

補(bǔ)丁


解決方案

圖片

如何檢測(cè)組件版本


如果為 Maven 項(xiàng)目,可查看項(xiàng)目 pom.xml 文件中 org.apache.bcel 的 version 字段是否在受漏洞影響的范圍內(nèi)

圖片

官方修復(fù)建議

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://commons.apache.org/proper/commons-bcel/download_bcel.cgi