关于Apache Common Text存在远程代码执行漏洞

一、漏洞情况分析
近期,Apache Common Text被爆出存在一个高危远程代码执行漏洞,且漏洞验证代码(PoC)被公开在推特上。Apache Common Text是美国阿帕奇(Apache)基金会的一款专注于处理字符串的算法库。该算法库提供多种Java语言核心库未具备的字符串处理功能,在全球范围内应用广泛。当应用系统应用该算法库处理字符串,且特定的函数可接受外部传入的参数时,攻击者可通过构造特殊参数字符串传递至特定函数,获取到最高权限,从而执行任意操作,严重危害系统安全。
二、影响范围与排查方法
2.1 影响范围
经研判,Apache Common Text库版本号<1.10.0 均受此漏洞影响。
2.2 版本排查方法
(1) 如果是war包,使用压缩软件打开排查是否存在commons-text-1.x.x.jar
(2) 如果是jar包,请排查部署时候libs或者lib下是否存在commons-text-1.x.x.jar
(3) 如果是微服务,查看jar包中是否包含org.apache.commons.text 包路径
(4) 开发人员可直接在开发工具IDE上查看pom.xml是否存在相应的版本:
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-text</artifactId>
<version>1.x.x</version>
</dependency>

三、漏洞修复建议 目前Apache基金会官方仓库已发布安全更新版本1.10. 0,链接如下

最新版本下载地址:Commons Text – Download Apache Commons Text

 从官网下载最新版本commons-text-1.10.0-bin.zip

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值