add cve/docker/2022/yaml/cve-2022-42889.yaml.

Signed-off-by: GQ246 <by2239107@buaa.edu.cn>
2023-03-23 13:29:06 +00:00 · 2023-03-23 13:29:06 +00:00 · 81b16e7e93
parent 36b608033f
commit 81b16e7e93
1 changed files with 20 additions and 0 deletions
--- a/cve/docker/2022/yaml/cve-2022-42889.yaml
+++ b/cve/docker/2022/yaml/cve-2022-42889.yaml
@ -0,0 +1,20 @@
+id: cve-2022-42889
+source: 
+ https://github.com/karthikuj/cve-2022-42889-text4shell-docker
+info:
+  name: Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上创建一个容器（轻量级虚拟机）并部署和运行应用程序，以及通过配置文件实现应用程序的自动化安装、部署和升级。
+  severity: CRITICAL
+  description: |
+   Apache Commons Text执行变量插值，允许动态评估和扩展属性。插值的标准格式是“${prefix：name}”，其中“前缀”用于定位执行插值的org.apache.commons.text.lookup.StringLookup的实例。从版本 1.5 开始一直到 1.9，默认查找实例集包括可能导致任意代码执行或与远程服务器联系的插值器。这些查找是： - “脚本” - 使用 JVM 脚本执行引擎 （javax.script） 执行表达式 - “DNS” - 解析 DNS 记录 - “网址” - 从 URL 加载值，包括从远程服务器加载值 如果使用不受信任的配置值，则在受影响版本中使用插值默认值的应用程序可能容易受到远程代码执行或与远程服务器的意外联系。建议用户升级到Apache Commons Text 1.10.0，默认情况下禁用有问题的插值器。
+  scope-of-influence:
+    Docker 1.5-1.10.0
+  reference:
+    - https://nvd.nist.gov/vuln/detail/CVE-2022-42889
+  classification:
+    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
+    cvss-score: 9.8
+    cve-id: cve-2022-42889
+    cwe-id: CWE-94
+    cnvd-id: None
+    kve-id: None
+  tags: Docker,cve2022