Apache Commons JXPath遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警（CVE-2022-41852）

2022-10-12

一、概要

近日，華為云關(guān)注到業(yè)界披露Apache Commons JXPath存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-41852），當(dāng)使用 JXPath 來解析不受信任的 XPath表達(dá)式時(shí)容易造成遠(yuǎn)程代碼執(zhí)行。若xpath 表達(dá)式存在外部可控輸入，漏洞利用難度低。目前漏洞poc已公開，風(fēng)險(xiǎn)高。

Commons JXPath 是一個(gè)java庫，是Xpath基于java語言的一種實(shí)現(xiàn)。華為云提醒使用Apache Commons JXPath的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://nvd.nist.gov/vuln/detail/CVE-2022-41852

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

commons-jxpath <= 1.3

安全版本：無（官方已停止維護(hù)）

四、漏洞處置

排查指導(dǎo)

1、是否有使用受影響的commons-jxpath組件版本；

2、若使用了，排查是否存在JXPathContext.getValue()函數(shù)，并且存在xpath規(guī)則輸入可控的情況，如果存在，則受影響。

緩解措施

1、受影響組件已停止維護(hù)，建議替換相同功能組件使用。

2、嚴(yán)格過濾 xpath 表達(dá)式輸入，非必要不設(shè)為外部可控輸入。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。