1.漏洞描述 Apache Commons Configuration是美国阿帕奇（Apache）基金会的一款通用的配置接口，它主要用于使Java应用程序从多种来源读取配置数据。Apache Commons 2.4至2.7版本存在代码注入漏洞，该漏洞源于Apache Commons配置执行变量插值，允许动态评估和扩展属性。插值的标准格式是\"${prefix：name}\"，其中 \"prefix \"用于定位执行插值的org.apache.commons.configuration2.interpol.Lookup的实例。从2.4版本开始一直到2.7版本，默认的Lookup实例集包括可能导致任意代码执行或与远程服务器联系的插值器。这些查找器是：-\"script\" - 使用JVM脚本执行引擎（javax.script）执行表达式，- \"dns\" - 解析dns记录，- \"url\" - 从urls加载值，包括从远程服务器加载值，如果使用不受信任的配置值，使用受影响版本中插值默认值的应用程序可能会受到远程代码执行或无意中与远程服务器接触的影响。建议用户升级到Apache Commons Configuration 2.8.0，该版本默认禁用了有问题的插值器。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP1 不影响 银河麒麟高级服务器操作系统 V10 SP2 不影响 银河麒麟高级服务器操作系统 V10 SP3 不影响 银河麒麟高级服务器操作系统（Host版）V10 不影响 银河麒麟高级服务器操作系统 V10 HPC 不影响 银河麒麟高级服务器操作系统 V10 SP3 2403 不影响 银河麒麟高级服务器操作系统 V10 SP3 2309b 不影响 银河麒麟高级服务器操作系统 V11 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2022-33980 中等 7.5 其他 漏洞评分向量：CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 4.修复方案 无需修复