近日网上有关于开源项目Apache Commons Configuration远程代码执行漏洞 ，棱镜七彩安全研究院对漏洞进行了验证。

Apache Commons Configuration 是 Apache 基金会下的一个开源项目组件。它提供了一种通用的方式，让 Java 开发者可以使用统一的接口读取不同类型的配置文件。

https://commons.apache.org/

https://github.com/apache/commons-configuration

该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷，攻击者可利用该漏洞在特定情况下，构造恶意数据执行远程代码。

2.4 ≤ Apache Commons Configuration ≤ 2.7

CVE-2022-33980

解决方案

如何检测组件系统版本

若项目使用 Maven 进行管理，可查看依赖中是否引用了 commons-configuration2，查看版本是否在受影响范围内：

<dependency>

<groupId>org.apache.commons</groupId>

<artifactId>commons-configuration2</artifactId>

<version>2.7</version>

</dependency>

或搜索是否包含如下 Jar 包，查看版本是否在受影响范围内：

建议用户升级到 Apache Commons Configuration 2.8.0，默认情况下禁用有问题的插值器。

棱镜七彩作为国内专业提供开源成分管理及威胁情报服务的创新型科技企业，拥有自主知识产权的开源安全治理工具FossCheck、左移开发安全工具FossEye、开源许可证治理工具FossLicense等产品。产品主要用于帮助对软件中的开源成分进行克隆检测和溯源分析、安全漏洞分析、开源组件管理、自动化策略执行、威胁情报预警及开源软件许可证合规，帮助企业更好的管理开源代码资产、跟踪开源资产安全性和合规性，提高研发效率，降低安全成本，为客户提供领先全面的开源安全与合规治理解决方案