一、漏洞详情

Apache Commons Configuration是Apache基金会下的一个开源项目组件。它提供了一种通用的方式，让Java开发者可以使用统一的接口读取不同类型的配置文件。

该漏洞是由于Apache Commons Configuration提供的Configuration变量解释功能存在缺陷，攻击者可利用该漏洞在特定情况下，构造恶意数据执行远程代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

2.4 ≤ Apache Commons Configuration ≤ 2.7

三、修复建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s