CVE-2022-25894 — Remote Code Execution in com.bstek.uflo:uflo-core

描述

All versions of the package com.bstek.uflo:uflo-core are vulnerable to Remote Code Execution (RCE) in the ExpressionContextImpl class via jexl.createExpression(expression).evaluate(context); functionality, due to improper user input validation.

如何修補 CVE-2022-25894

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

Maven/com.bstek.uflo:uflo-core—未列出修補版本

CVE-2022-25894 正在被利用嗎?

低 — EPSS 為 3.7%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, <= 2.1.5

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	CRITICAL9.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

參考連結(4)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2022-25894
WEBfmyyy1.github.io/2022/10/23/uflo2rce
WEBgithub.com/youseries/uflo/blob/b3e198bc6523e5a6ba69edd84ba10e05a3b78726/uflo-core/src/main/java/com/bstek/uflo/expr/impl/ExpressionContextImpl.java#L126
WEBsecurity.snyk.io/vuln/SNYK-JAVA-COMBSTEKUFLO-3091112