ГлавнаяБаза уязвимостей БДУ → BDU:2022-06227
10критическая

BDU:2022-06227 (CVE-2022-41852)

Уязвимость функций класса JXPathContext (кроме compile и compilePath) библиотеки обработки объектных запросов JXPath, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-10-12
Описание

Уязвимость функций класса JXPathContext (кроме compile и compilePath) библиотеки обработки объектных запросов JXPath связана с применением входных данных с внешним управлением для выбора классов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Commons JXPath (до 1.3 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности пользовательского ввода, применение механизмов фильтрации;
- ограничение использования программного средства.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-41852https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133
Проверьте безопасность своего сайта и почты → Полная проверка домена