CVE-2022-42889 Apache commons text variable interpolation RCE
在 Apache Commons Text 中發現一個新的高嚴重性 CVE。該漏洞是 StringSubstitutor 此軟體執行變量差值(interpolation)採用的預設參數不安全,在不安全的遠程代碼執行下,允許使用“Script”、“URL”和DNS”。
Cloud WAF 和 On-premise都已經阻止了針對 RCE 的有效負載被現有的 Java 代碼執行規則立即阻止,我們添加了額外的規則來處理 Cloud WAF 和 On-premise 在緊急情況下針對“URL”和“DNS”所提供的緊急措施。
針對 CVE-2022-42889 Imperva 已評估完畢並釋出緩解方式:
- Cloud WAF 用戶,已經受到 OOTB 保護。
- Imperva 已經發布了緊急應變促措施 , 如有問題亦可發信至 Supports 信箱 詢問修補方式。
想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊