关键漏洞信息 CVE ID: CVE-2020-5245 发布日期: 2020-02-24 更新日期: 2024-06-05 标题: Dropwizard-Validation 中的远程代码执行 (RCE) 漏洞 描述: Dropwizard Validation 在 1.3.19 和 2.0.2 版本之前可能允许在主机系统上以 Dropwizard 服务帐户的权限执行任意代码,通过注入恶意 Java 表达式语言表达式使用自验证功能。该问题已在 dropwizard-validation 1.3.19 和 2.0.2 中修复。 CWE: CWE-74 - 不当中和输出中用于下游组件的特殊元素(注入) CVSS 评分: 7.9 (高) 严重性: 高 版本: 3.1 向量字符串: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:L 受影响版本: - >= 1.3.0, = 2.0.0, < 2.0.2 参考链接: - GitHub Advisory - GitHub Pull Request 3157 - GitHub Pull Request 3160 - GitHub Commit - GitHub Commit - Java Validation API