Аналитик угроз GitHub Альваро Муньос обнаружил
уязвимость удаленного выполнения кода CVE-2022-42889
в библиотеке с открытым исходным кодом Apache Commons Text . Эта библиотека ориентирована на алгоритмы, работающие со строками.
Уязвимость, получившая название «Text4Shell», представляет собой проблему оценки скрипта, вызванную системой интерполяции. Злоумышленник может использовать уязвимость, чтобы вызвать выполнение кода при обработке злонамеренного ввода в конфигурации библиотеки по умолчанию.
Заменитель строк StringSubstitutor при использовании с интерполяторами по умолчанию будет выполнять поиск строк, что может привести к выполнению произвольного кода. Apache Commons Text полагается на систему интерполяции для управления строками.
По словам
Apache, приложения, использующие интерполяцию по умолчанию, могут быть уязвимы для удаленного выполнения кода или непреднамеренного контакта с удаленными серверами, если используются ненадежные значения конфигурации.
Уязвимость затрагивает версии от 1.5 по 1.9. Проблема устранена с выпуском Apache Commons Text 1.10.0, который по умолчанию отключает проблемные интерполяторы.
Некоторые эксперты и разработчики сравнивают Text4Shell с
Источник: SecurityLab