Apache Commons BCEL 組件存在越界寫入漏洞（CVE-2022-42920）。該漏洞是由于 Apache Commons BCEL在6.6.0之前的版本中ConstantPoolGen類沒(méi)有對(duì)寫入常量池的常量數(shù)量進(jìn)行限制導(dǎo)致越界寫入。ApacheCommons BCEL中有很多API，通常只允許更改特定的類特性，由于存在越界寫入問(wèn)題，攻擊者可利用這些API生成任意字節(jié)碼，從而造成拒絕服務(wù)或任意代碼執(zhí)行。

Apache Commons BCEL是一個(gè)為用戶提供分析、創(chuàng)建和操作（二進(jìn)制）Java 類文件的工程庫(kù)。

（一）漏洞影響范圍：

Apache Commons BCEL ＜ 6.6.0

（二）漏洞修復(fù)建議：

官方已經(jīng)發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁，建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁，詳細(xì)信息如下：

https://commons.apache.org/proper/commons-bcel/download_bcel.cgi