近日，嘉诚安全监测到CNNVD官方发布了Apache Commons BCEL越界写入漏洞的安全风险通告，漏洞编号为：CNNVD-202211-2199（CVE-2022-42920)。

Apache Commons BCEL是美国阿帕奇（Apache）基金会的一个字节代码工程库。旨在为用户提供分析、创建和操作（二进制）Java类的便捷方式。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快下载补丁进行更新，避免引发漏洞相关的网络安全事件。

该漏洞是由于 Apache Commons BCEL 在6.6.0之前的版本中 ConstantPoolGen 类没有对写入常量池的常量数量进行限制导致越界写入。Apache Commons BCEL 中有很多 API ，通常只允许更改特定的类特性，由于存在越界写入问题，攻击者可利用这些 API 生成任意字节码，从而造成拒绝服务或任意代码执行。

通用修复建议：

根据影响版本中的信息，厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://commons.apache.org/proper/commons-bcel/download_bcel.cgi