研究人员正在密切跟踪 Apache Commons Text 中新披露的一个关键漏洞,该漏洞为未经身份验证的攻击者提供了一种在运行具有受影响组件的应用程序的服务器上远程执行代码的方法。
缺陷(CVE-2022-42889) 在 CVSS 量表上的严重性等级为 9.8(满分为 10.0),并且存在于 Apache Commons Text 的 1.5 到 1.9 版本中。 该漏洞的概念验证代码已经可用,但到目前为止还没有任何利用活动的迹象。
可用的更新版本
Apache 软件基金会 (ASF) 发布了更新版本 该软件(Apache Commons Text 1.10.0)于 24 月 XNUMX 日发布,但发布了 缺陷咨询 仅在上周四。 在其中,基金会将该缺陷描述为源自 Apache Commons Text 执行变量插值时的不安全默认值,这基本上是查找和 在代码中评估字符串值 包含占位符。 “从 1.5 版开始,一直到 1.9 版,默认 Lookup 实例集包括可能导致任意代码执行或与远程服务器联系的插值器,”该公告称。
与此同时,NIST 敦促用户升级到 Apache Commons Text 1.10.0,它说,“禁用有问题的插值器 默认。”
ASF Apache 将 Commons Text 库描述为对标准 Java 开发工具包 (JDK) 的文本处理提供补充。 一些 2,588项目 根据 Maven Central Java 存储库中的数据,目前使用该库,包括一些主要的库,如 Apache Hadoop Common、Spark Project Core、Apache Velocity 和 Apache Commons Configuration。
在今天的公告中,GitHub 安全实验室表示它是 它的一位渗透测试人员 该公司发现了该漏洞,并于 XNUMX 月向 ASF 的安全团队报告了该漏洞。
迄今为止,追踪该漏洞的研究人员在评估其潜在影响时一直持谨慎态度。 著名的安全研究员 Kevin Beaumont 在周一的一条推文中想知道该漏洞是否会导致潜在的 Log4shell 情况,他指的是去年年底臭名昭著的 Log4j 漏洞。
“Apache Commons 文本 支持允许代码执行的函数,在潜在的用户提供的文本字符串中,”博蒙特说。 但为了利用它,攻击者需要找到使用此功能的 Web 应用程序,这些应用程序也接受用户输入,他说。 “我还不会打开 MSPaint, 除非有人能找到 webapps 使用此功能并允许用户提供的输入到达它,”他在推特上写道。
概念验证加剧了担忧
威胁情报公司 GreyNoise 的研究人员告诉 Dark Reading,该公司知道 CVE-2022-42889 的 PoC 可用。 据他们称,新漏洞与 2022 年 XNUMX 月宣布的一个 ASF 几乎相同,该漏洞也与 Commons Text 中的变量插值有关。 该漏洞(CVE-2022-33980) 在 Apache Commons Configuration 中发现,并且具有与新漏洞相同的严重等级。
GreyNoise 研究人员说:“我们知道 CVE-2022-42889 的概念验证代码可能会在故意易受攻击和受控的环境中触发漏洞。” “我们不知道有任何广泛部署的实际应用程序在易受攻击的配置中使用 Apache Commons Text 库的示例,这将允许攻击者利用用户控制的数据利用该漏洞。”
他们补充说,GreyNoise 正在继续监控任何“实践证明”漏洞利用活动的证据。
Jfrog Security 表示正在监控该漏洞,到目前为止,影响似乎很可能 将不如 Log4j 普及. “Apache Commons Text 中的新 CVE-2022-42889 看起来很危险,”JFrog 在推文中说。 “似乎只影响将攻击者控制的字符串传递给-StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup() 的应用程序,”它说。
安全供应商表示,使用 Java 15 及更高版本的人应该避免代码执行,因为脚本插值不起作用。 但它指出,利用该漏洞的其他潜在载体——通过 DNS 和 URL——仍然有效。
