阿里云漏洞库

漏洞描述

Apache Commons Configuration是美国阿帕奇（Apache）软件基金会的一款通用的配置接口，它主要用于使Java应用程序从多种来源读取配置数据。 Apache Commons Configuration使用第三方库来解析YAML文件，如果YAML包含特殊语句，则默认情况下允许实例化类。 Apache Commons Configuration版本2.2、2.3、2.4、2.5、2.6并未更改该库的默认设置。因此，如果从不受信任的源加载了YAML文件，则它可能会在主机应用程序的控制范围之外加载并执行代码。

解决建议

升级至安全版本。

参考链接
https://lists.apache.org/thread.html/d0e00f2e147a9e9b13a6829133092f349b2882bf...
https://lists.apache.org/thread.html/r16a2e949e35780c8974cf66104e812410f3904f...
https://lists.apache.org/thread.html/rde2186ad6ac0d6ed8d51af7509244adcf1ce0f9...
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	commons_configuration	2.2	-
	运行在以下环境
	应用	apache	commons_configuration	2.3	-
	运行在以下环境
	应用	apache	commons_configuration	2.4	-
	运行在以下环境
	应用	apache	commons_configuration	2.5	-
	运行在以下环境
	应用	apache	commons_configuration	2.6	-
	运行在以下环境
	应用	oracle	database_server	11.2.0.4	-
	运行在以下环境
	应用	oracle	database_server	12.1.0.2	-
	运行在以下环境
	应用	oracle	database_server	12.2.0.1	-
	运行在以下环境
	应用	oracle	database_server	18c	-
	运行在以下环境
	应用	oracle	database_server	19c	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.1.1	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.2.0	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.2.1	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.3.0	-
	运行在以下环境
	系统	debian_10	commons-configuration2	*		Up to (excluding) 2.2-1+deb10u1
	运行在以下环境
	系统	debian_11	commons-configuration2	*		Up to (excluding) 2.7-1
	运行在以下环境
	系统	debian_12	commons-configuration2	*		Up to (excluding) 2.7-1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当
NVD-CWE-noinfo

高危 Apache Commons Configuration输入验证错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况