Apache Commons JXPath远程代码执行漏洞预警（CVE-2022-41852）

2022-10-12

一、概要

近日，华为云关注到业界披露Apache Commons JXPath存在远程代码执行漏洞（CVE-2022-41852），当使用 JXPath 来解析不受信任的 XPath表达式时容易造成远程代码执行。若xpath 表达式存在外部可控输入，漏洞利用难度低。目前漏洞poc已公开，风险高。

Commons JXPath 是一个java库，是Xpath基于java语言的一种实现。华为云提醒使用Apache Commons JXPath的用户尽快安排自检并做好安全加固。

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2022-41852

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

commons-jxpath <= 1.3

安全版本：无（官方已停止维护）

四、漏洞处置

排查指导

1、是否有使用受影响的commons-jxpath组件版本；

2、若使用了，排查是否存在JXPathContext.getValue()函数，并且存在xpath规则输入可控的情况，如果存在，则受影响。

缓解措施

1、受影响组件已停止维护，建议替换相同功能组件使用。

2、严格过滤 xpath 表达式输入，非必要不设为外部可控输入。

注：修复漏洞前请将资料备份，并进行充分测试。