RCE en la librería Apache Commons Text

Fecha de publicación: 18/10/2022

Importancia:
Crítica

Recursos afectados:

Apache Commons Text, desde la versión 1.5 hasta la 1.9, ambas incluidas.

Descripción:

Apache ha publicado una vulnerabilidad en su librería Apache Commons Text que podría permitir a un atacante remoto ejecutar código.

Solución:

Actualizar a Apache Commons Text 1.10.0.

Detalle:

Apache Commons Text realiza la interpolación de variables, permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es ${prefix:name}, donde prefix se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. En las versiones afectadas el conjunto de instancias de Lookup por defecto incluía interpoladores que podían dar lugar a la ejecución de código arbitrario o al contacto con servidores remotos. Se ha asignado el identificador CVE-2022-42889 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Apache, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.