Apache Commons JXPathにRCE脆弱性 - パッチ未提供

Apache CommonsであるJavaコンポーネントの「JXPath」に深刻な脆弱性が指摘されている。

「JXPath」は、「XPath」の構文によりオブジェクトから値を取得できるコンポーネント。信頼できない「XPath」を解釈した場合に、リモートよりコードを実行されるおそれがある脆弱性「CVE-2022-41852」が明らかとなったもの。

Googleでは共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.7」、重要度を「高（High）」と評価。一方、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」ではCVSS基本値を「9.8」、重要度を「クリティカル（Critical）」としている。

4月30日に報告があり、90日が経過して7月29日に公表された。修正パッチは提供されていない模様。信頼できない入力を同コンポーネントで「XPath」として処理しないよう注意が呼びかけられている。

（Security NEXT - 2022/10/13 ） ツイート

PR

関連記事

11店舗で未処理となっていた印鑑票の紛失が判明 - 旭川信金
分散トランザクション管理ツール「Apache Seata」に脆弱性
サーバにサイバー攻撃、影響など詳細を調査 - レイメイ藤井
「Kubernetes」マルチテナント管理ツール「Capsule」に深刻な脆弱性
Google、「Chrome 139」をリリース - AIが発見した脆弱性を修正
「Firefox 142」を公開 - 9件の脆弱性を解消
中学PTA議決資料が閲覧可能に、クラウドで設定ミス - 奈良市
緑地管理者がボランティア宛てメールを「CC」送信 - 名古屋市
旧保育所に不法侵入、建物内部に個人情報 - 北見市
マイナンバー文書を誤廃棄、保存期限の設定ミスで - 上三川町