CVE-2022-41853Те, кто использует java.sql.Statement или java.sql.PreparedStatement в hsqldb (HyperSQL DataBase) для обработки ненадежных входных данных, могут быть уязвимы для удаленной атаки с выполнением кода. По умолчанию разрешено вызывать любой статический метод любого класса Java в classpath, что приводит к выполнению кода. Эту проблему можно предотвратить, обновившись до версии 2.7.1 или установив системное свойство "hsqldb.method_class_names" для классов, которые разрешено вызывать. Например, можно использовать System.setProperty("hsqldb.method_class_names", "abc") или аргумент Java -Dhsqldb.method_class_names="abc". Начиная с версии 2.7.1 все классы по умолчанию недоступны, за исключением классов в java.lang.Math, и их необходимо включать вручную.