imageportofolio

Apache Commons Text遠(yuǎn)程代碼執行漏洞通告

2022-11-17 584

Apache Commons Text遠(yuǎn)程代碼執行漏洞通告

 

近日,亞信安(ān)全CERT監控到Apache針對Apache Commons Text進行了安(ān)全更新(xīn),Apache Commons Text 受影響版本存在遠(yuǎn)程代碼執行漏洞,因為(wèi)其默認使用(yòng)的Lookup實例集包括可(kě)能(néng)導緻任意代碼執行或與遠(yuǎn)程服務(wù)器信息交換的插值器,如script标簽可(kě)以使用(yòng) JVM 腳本執行引擎 (javax.script) 執行表達式,dns标簽可(kě)以解析 dns 記錄,url标簽可(kě)以從 url 加載值。攻擊者可(kě)利用(yòng)該漏洞進行遠(yuǎn)程代碼執行。

 

Apache Commons Text是一款處理(lǐ)字符串和文(wén)本塊的開源項目,用(yòng)于各種類型的字符串轉義,為(wèi)标準JDK的文(wén)本處理(lǐ)提供了補充。

 

漏洞編号:

CVE-2022-42889

 

漏洞等級:

CVSS3 8.2

 

漏洞狀态:

漏洞細節

漏洞PoC

漏洞EXP

在野利用(yòng)

公(gōng)開

公(gōng)開

公(gōng)開

受影響的版本:

1.5 <= Apache Common Text <= 1.9

 

漏洞複現:

圖片2.png 

 

修複建議:

·        過濾StringSubstitutor處理(lǐ)的可(kě)控參數

·        升級Apache Common Text1.10.0及以上版本,下載地址:https://github.com/apache/commons-text/releases/tag/rel%2Fcommons-text-1.10.0

 

參考鏈接:

·        https://nvd.nist.gov/vuln/detail/CVE-2022-42889

·        https://seclists.org/oss-sec/2022/q4/22

·        https://github.com/apache/commons-text/pull/341

·        https://github.com/apache/commons-text/commit/b9b40b903e2d1f9935039803c9852439576780ea#diff-210f245a39e5a5d762459368a514246d985a5b52f24e0d1e9321c96aab9f3226