RCE en la librería Apache Commons Text

Fecha de publicación 18/10/2022
Importancia
5 - Crítica
Recursos Afectados

Apache Commons Text, desde la versión 1.5 hasta la 1.9, ambas incluidas.

Descripción

Apache ha publicado una vulnerabilidad en su librería Apache Commons Text que podría permitir a un atacante remoto ejecutar código.

Solución

Actualizar a Apache Commons Text 1.10.0.

Detalle

Apache Commons Text realiza la interpolación de variables, permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es ${prefix:name}, donde prefix se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. En las versiones afectadas el conjunto de instancias de Lookup por defecto incluía interpoladores que podían dar lugar a la ejecución de código arbitrario o al contacto con servidores remotos. Se ha asignado el identificador CVE-2022-42889 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults
GHSL-2022-018: Arbitrary Code Execution in Apache Commons Text - CVE-2022-42889
CVE-2022-42889: Keep Calm and Stop Saying "4Shell"
CVE-2022-42889 Detail
Etiquetas