정보마당
commons-fileupload 1.3.1
License 관리자
게시글 작성 시각 2023-12-17 20:05:04
컴포넌트 명 : commons-fileupload
| 버전 정보 | 취약점 ID | 취약점 최종 보고일 | 심각도 |
|---|---|---|---|
| 1.3.1 | CVE-2022-42889 | 2023/04/17 | 9.8 (Critical) |
취약점 ID : CVE-2022-42889
| 취약점 설명 | Apache Commons Text는 가변 보간을 수행하여 속성을 동적으로 평가하고 확장할 수 있도록 합니다. 보간의 표준 형식은 "${prefix:name}"이며, 여기서 "prefix"는 보간을 수행하는 org.apache.commons.text.lookup.StringLookup의 인스턴스를 찾는 데 사용됩니다. 버전 1.5부터 시작하여 1.9까지 계속되는 기본 Lookup 인스턴스 집합에는 임의의 코드 실행 또는 원격 서버와의 접촉이 발생할 수 있는 보간기가 포함되어 있습니다. 다음 룩업은 - "script" - JVM 스크립트 실행 엔진(javax.script)을 사용하여 식을 실행합니다 - "dns" - resolve dns records - "url" - 원격 서버를 포함한 URL의 로드 값입니다. 영향을 받는 버전에서 보간 기본값을 사용하는 응용 프로그램은 신뢰할 수 없는 구성 값을 사용하는 경우 원격 코드 실행에 취약하거나 원격 서버와의 의도하지 않은 접촉이 발생할 수 있습니다. 사용자는 Apache Commons Text 1.10.0으로 업그레이드하는 것이 권장되며, 이는 문제가 있는 보간기를 기본적으로 비활성화합니다. |
|---|---|
| 대응 방안 | 1.10.1 이상 버전으로 업데이트 |
| 기타 | - |
-
| 번호 | 컴포넌트 명 및 버전 | 취약점ID | 심각도 |
취약점 최종 보고일 |
대응방안 |
|---|---|---|---|---|---|
| 197 | tomcat-embed-core 10.1.8 | CVE-2023-44487 | 7.5 (High) | 2024/02/02 |
|
| 196 | tomcat-embed-core 10.1.8 | CVE-2023-34981 | 7.5 (High) | 2023/07/21 |
|
| 195 | axios 0.4.0 | CVE-2021-3749 | 7.5 (High) | 2023/11/06 |
|
| 194 | cryptography 36.0.2 | CVE-2023-38325 | 7.5 (High) | 2023/11/06 |
|
| 193 | certifi 2022.6.15.2 | CVE-2023-37920 | 9.8 (Critical) | 2023/08/12 |
|
| 192 | Django 4.2 | CVE-2023-36053 | 7.5 (High) | 2023/11/14 |
|
| 191 | jszip 3.6.0 | CVE-2022-48285 | 7.3 (High) | 2023/03/03 |
|
| 190 | pdfmake 0.1.70 | CVE-2022-46161 | 9.8 (Critical) | 2023/07/07 |
|
| 189 | libtiff 4.0.10 | CVE-2022-3970 | 8.8 (High) | 2023/11/17 |
|
| 188 | commons-fileupload 1.3.1 | CVE-2022-42889 | 9.8 (Critical) | 2023/04/17 |
|
0개 댓글