中危 Apache Commons Configuration 代码注入漏洞（CVE-2022-33980）

CVE编号

CVE-2022-33980

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-07-07

漏洞描述

Apache Commons Configuration是美国阿帕奇（Apache）基金会的一款通用的配置接口，它主要用于使Java应用程序从多种来源读取配置数据。 Apache Commons 2.4至2.7版本存在代码注入漏洞，该漏洞源于Apache Commons配置执行变量插值，允许动态评估和扩展属性。插值的标准格式是\"${prefix：name}\"，其中 \"prefix \"用于定位执行插值的org.apache.commons.configuration2.interpol.Lookup的实例。从2.4版本开始一直到2.7版本，默认的Lookup实例集包括可能导致任意代码执行或与远程服务器联系的插值器。这些查找器是：-\"script\" - 使用JVM脚本执行引擎（javax.script）执行表达式，- \"dns\" - 解析dns记录，- \"url\" - 从urls加载值，包括从远程服务器加载值，如果使用不受信任的配置值，使用受影响版本中插值默认值的应用程序可能会受到远程代码执行或无意中与远程服务器接触的影响。建议用户升级到Apache Commons Configuration 2.8.0，该版本默认禁用了有问题的插值器。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s

参考链接
http://www.openwall.com/lists/oss-security/2022/07/06/5
http://www.openwall.com/lists/oss-security/2022/11/15/4
https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s
https://security.netapp.com/advisory/ntap-20221028-0015/
https://www.debian.org/security/2022/dsa-5290

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	commons_configuration	*	From (including) 2.4	Up to (excluding) 2.8
	运行在以下环境
	系统	centos_8	rubygem-hammer_cli_foreman_admin	*		Up to (excluding) 0.0.4-1.el8sat
	运行在以下环境
	系统	debian_10	commons-configuration2	*		Up to (excluding) 2.2-1+deb10u1
	运行在以下环境
	系统	debian_11	commons-configuration2	*		Up to (excluding) 2.8.0-1~deb11u1
	运行在以下环境
	系统	debian_12	commons-configuration2	*		Up to (excluding) 2.8.0-1
	运行在以下环境
	系统	debian_sid	commons-configuration2	*		Up to (excluding) 2.8.0-1
	运行在以下环境
	系统	redhat_8	rubygem-hammer_cli_foreman_admin	*		Up to (excluding) 0.0.4-1.el8sat

阿里云评分 5.8

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-94	对生成代码的控制不恰当（代码注入）
NVD-CWE-noinfo

Exp相关链接

- avd.aliyun.com