Apache Commons Configuration输入验证错误漏洞

CVE编号

CVE-2020-1953

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-03-14

漏洞描述

Apache Commons Configuration是美国阿帕奇（Apache）软件基金会的一款通用的配置接口，它主要用于使Java应用程序从多种来源读取配置数据。 Apache Commons Configuration使用第三方库来解析YAML文件，如果YAML包含特殊语句，则默认情况下允许实例化类。 Apache Commons Configuration版本2.2、2.3、2.4、2.5、2.6并未更改该库的默认设置。因此，如果从不受信任的源加载了YAML文件，则它可能会在主机应用程序的控制范围之外加载并执行代码。

解决建议

升级至安全版本。

参考链接
https://lists.apache.org/thread.html/d0e00f2e147a9e9b13a6829133092f349b2882bf...
https://lists.apache.org/thread.html/r16a2e949e35780c8974cf66104e812410f3904f...
https://lists.apache.org/thread.html/rde2186ad6ac0d6ed8d51af7509244adcf1ce0f9...
https://www.oracle.com/security-alerts/cpuoct2020.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	commons_configuration	2.2	-
	运行在以下环境
	应用	apache	commons_configuration	2.3	-
	运行在以下环境
	应用	apache	commons_configuration	2.4	-
	运行在以下环境
	应用	apache	commons_configuration	2.5	-
	运行在以下环境
	应用	apache	commons_configuration	2.6	-
	运行在以下环境
	应用	oracle	database_server	11.2.0.4	-
	运行在以下环境
	应用	oracle	database_server	12.1.0.2	-
	运行在以下环境
	应用	oracle	database_server	12.2.0.1	-
	运行在以下环境
	应用	oracle	database_server	18c	-
	运行在以下环境
	应用	oracle	database_server	19c	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.1.1	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.2.0	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.2.1	-
	运行在以下环境
	应用	oracle	healthcare_foundation	7.3.0	-
	运行在以下环境
	系统	debian_10	commons-configuration2	*		Up to (excluding) 2.2-1+deb10u1
	运行在以下环境
	系统	unionos_20	commons-configuration2	*		Up to (excluding) 2.2-1+deb10u1

阿里云评分 7.6

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 全局影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-20 输入验证不恰当 NVD-CWE-noinfo