网络安全

关于Apache Commons BCEL越界写入漏洞的预警通告
发布日期:2022-11-21 16:44 浏览量:

Apache Commons BCEL 组件存在越界写入漏洞(CVE-2022-42920)。该漏洞是由于 Apache Commons BCEL在6.6.0之前的版本中ConstantPoolGen类没有对写入常量池的常量数量进行限制导致越界写入。ApacheCommons BCEL中有很多API,通常只允许更改特定的类特性,由于存在越界写入问题,攻击者可利用这些API生成任意字节码,从而造成拒绝服务或任意代码执行。

Apache Commons BCEL是一个为用户提供分析、创建和操作(二进制)Java 类文件的工程库。

(一)漏洞影响范围:

Apache Commons BCEL < 6.6.0

(二)漏洞修复建议:

官方已经发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁,详细信息如下:

https://commons.apache.org/proper/commons-bcel/download_bcel.cgi