发布日期：2020-06-25
更新日期：2020-09-04

受影响系统：

Apache Commons Configuration 2.6
Apache Commons Configuration 2.5
Apache Commons Configuration 2.4
Apache Commons Configuration 2.3
Apache Commons Configuration 2.2

描述：

---

CVE(CAN) ID: CVE-2020-1953

Apache Commons Configuration是美国阿帕奇（Apache）软件基金会的一款通用的配置接口，它主要用于使Java应用程序从多种来源读取配置数据。
Apache Commons Configuration 2.2、2.3、2.4、2.5、2.6版本存在输入验证不当漏洞。该漏洞源于程序未改变第三方库解析YAML文件时的默认设置。攻击者可利用该漏洞在主机应用程序控制之外加载和执行代码。

<**>

建议：

---

厂商补丁：

Apache
------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.apache.org/thread.html/d0e00f2e147a9e9b13a6829133092f349b2882bf6860397368a52600@%3Cannounce.tomcat.apache.org%3E

浏览次数：1983
严重程度：0（网友投票）