Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

RCE en la librería Apache Commons Text

Fecha de publicación 18/10/2022
Identificador

INCIBE-2022-0975

Importancia
5 - Crítica
Recursos Afectados

Apache Commons Text, desde la versión 1.5 hasta la 1.9, ambas incluidas.

Descripción

Apache ha publicado una vulnerabilidad en su librería Apache Commons Text que podría permitir a un atacante remoto ejecutar código.

Solución

Actualizar a Apache Commons Text 1.10.0.

Detalle

Apache Commons Text realiza la interpolación de variables, permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es ${prefix:name}, donde prefix se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. En las versiones afectadas el conjunto de instancias de Lookup por defecto incluía interpoladores que podían dar lugar a la ejecución de código arbitrario o al contacto con servidores remotos. Se ha asignado el identificador CVE-2022-42889 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults
GHSL-2022-018: Arbitrary Code Execution in Apache Commons Text - CVE-2022-42889
CVE-2022-42889: Keep Calm and Stop Saying "4Shell"
CVE-2022-42889 Detail
Etiquetas