Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen haavoittuvuus Apache Commons Text -komponentissa

Haavoittuvuus19/2022CVSS 9.8CVE-2022-42889 (Ulkoinen linkki)

Apache Commons Text -komponentissa oleva haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen etänä.

Dynaamiseen muuttujien käsittelyyn liittyvä haavoittuvuus (CVE-2022-42889) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista. Haavoittuvuuteen on olemassa haavoittuvuuden hyväksikäytön mahdollistava esimerkkikoodi.

Apache Commons on julkaissut haavoittuvuuteen päivityksen. 

Haavoittuvuus koskee erityisesti organisaatioita ja toimia vaaditaan palvelinten ylläpitäjiltä. Haavoittuvuuden kautta hyökkääjä voi suorittaa haluamaansa koodia Commons text -komponentin avulla.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Apache Commons Text

  • versiosta 1.5 alkaen ja aiemmat kuin versio 1.10.0

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä Apache Commons Text versioon 1.10.0.

Lisätietoja

Korjattu haavoittuvien versioiden numerointi, sekä poistettu lisäys Rapid7:n uutisesta liittyen JDK versioihin.