| 風險等級: | 高度威脅 |
| 摘要: | 弱點通告:Apache 近日發布更新以解決多個產品的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考 Apache官方網站的說明和處理建議: 建議用戶升級到 Apache Commons Text 1.10.0 (含)之後版本 |
| 細節描述: | Apache Commons Text 執行變量插值,允許動態評估和擴展屬性。 插值的標準格式是“${prefix:name}”,其中“prefix”是用於定位執行插值的 org.apache.commons.text.lookup.StringLookup 的實例。從 1.5 版到 1.9 版,預設 Lookup 實例集的插值器可能會導致被任意填入程式碼或遠端連線。 這些查找是: – “script” – 使用 JVM 腳本執行引擎 (javax.script) 執行表達式 – “dns” – 解析 dns 記錄 – “url” – 從 url 加載值,包括來自遠端伺服器的連線。 |
| 參考資訊: | NIST |