HyperSQL数据库(HSQLDB) 远程代码执行漏洞预警（CVE-2022-41853）

2022-10-27

一、概要

近日，华为云关注到业界有安全研究人员披露HyperSQL数据库(HSQLDB) 存在一处严重级别的远程代码执行漏洞（CVE-2022-41853）。默认情况下HyperSQL的SQL语句可以调用class路径中的Java类的任意静态方法，当java.sql.Statement和java.sql.PreparedStatement解析不可信的二进制或文本格式数据时可能会导致远程代码执行。

HSQLDB是一款使用java语言编写的开源关系数据库。华为云提醒使用HSQLDB的用户及时安排自检并做好安全加固。

参考链接：

https://www.code-intelligence.com/blog/potential-remote-code-execution-in-hsqldb

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

hsqldb < 2.7.1

安全版本：

hsqldb 2.7.1

四、漏洞处置

目前官方已在2.7.1版本中修复了该漏洞，请受影响的用户升级至安全版本：

http://hsqldb.org/

华为云WAF具备对该漏洞的防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。