高危！Apache Commons Configuration2远程代码执行漏洞风险通告

漏洞描述

近日，亚信安全CERT监控到Apache Commons Configuration2存在远程代码执行漏洞（CVE-2022-33980），该漏洞源于Apache Commons Configuration2执行变量interpolation时，允许动态评估和扩展属性。interpolation的标准格式是“${prefix:name}”，其中“prefix”用于定位执行interpolation的 org.apache.commons.configuration2.interpol.Lookup的实例。从2.4版到2.7版，默认的Lookup实例可能导致任意代码执行或远程连接服务器。

目前厂商已发布安全版本，鉴于该漏洞受影响面广大，亚信安全CERT建议使用Apache Commons Configuration2的用户尽快采取相关措施。

Apache Commons Configuration2是Apache基金会下的一个开源项目组件。它是一个java应用程序的配置管理工具，可以从properties或者xml文件中加载软件的配置信息，用来构建支撑软件运行的基础环境。

漏洞编号

• CVE-2022-33980

漏洞等级

• 高危

漏洞状态

受影响的版本

• Apache Commons Configuration 2.4 - Apache Commons Configuration 2.7

修复建议

更新至安全版本：

Apache Commons Configuration 2.8.0