Vulnerabilidad de Ejecución Remota de Código en Apache Commons Text

INTRODUCCIÓN

El CVE-2022-42889 (CVSS 9.8), descubierto por el equipo de Github y, que algunos han comenzado a llamar "Text4Shell", es una vulnerabilidad en la popular biblioteca Apache Commons Text que puede resultar en la ejecución de código al procesar entradas maliciosas.

ANÁLISIS

Apache Commons Text realiza la interpolación de variables, permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es "${prefix:name}", donde "prefix" se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. El conjunto de instancias de Lookup por defecto incluía interpoladores que podían dar lugar a la ejecución de código arbitrario o al contacto con servidores remotos. Estos lookups son: - "script" - ejecuta expresiones utilizando el motor de ejecución de scripts de la JVM (javax.script) - "dns" - resuelve registros dns - "url" - carga valores de urls, incluso de servidores remotos las aplicaciones que utilizan los valores predeterminados de interpolación en las versiones afectadas pueden ser vulnerables a la ejecución remota de código o al contacto involuntario con servidores remotos si se utilizan valores de configuración no fiables.

Versiones afectadas:

• Desde la 1.5 hasta la 1.9

RECOMENDACIONES

Se recomienda a los usuarios que actualicen a Apache Commons Text 1.10.0, que desactiva los interpoladores problemáticos por defecto.

REFERENCIAS

https://blog.segu-info.com.ar/2022/10/cve-2022-42889-vulnerabilidad-en.html
https://www.cve.org/CVERecord?id=CVE-2022-42889