Kriittinen haavoittuvuus Apache Commons Text -komponentissa
Haavoittuvuus19/2022CVSS 9.8CVE-2022-42889 (Ulkoinen linkki)
Apache Commons Text -komponentissa oleva haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen etänä.
Dynaamiseen muuttujien käsittelyyn liittyvä haavoittuvuus (CVE-2022-42889) mahdollistaa hyökkääjän ohjelmakoodin suorittamisen palvelimella ilman kirjautumista. Haavoittuvuuteen on olemassa haavoittuvuuden hyväksikäytön mahdollistava esimerkkikoodi.
Apache Commons on julkaissut haavoittuvuuteen päivityksen.
Haavoittuvuus koskee erityisesti organisaatioita ja toimia vaaditaan palvelinten ylläpitäjiltä. Haavoittuvuuden kautta hyökkääjä voi suorittaa haluamaansa koodia Commons text -komponentin avulla.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
Apache Commons Text
- versiosta 1.5 alkaen ja aiemmat kuin versio 1.10.0
Ratkaisu- ja rajoitusmahdollisuudet
Päivitä Apache Commons Text versioon 1.10.0.
Lisätietoja
Rapid7 tietoturvayrityksen uutinen (Ulkoinen linkki) (ulkoinen linkki)
Apache Commons Text -kirjaston sivusto (Ulkoinen linkki). (ulkoinen linkki)
GitHub GHSL-2022-018 (Ulkoinen linkki) (ulkoinen linkki)
Cybersecurity Dive uutinen (Ulkoinen linkki) (ulkoinen linkki)
Korjattu haavoittuvien versioiden numerointi, sekä poistettu lisäys Rapid7:n uutisesta liittyen JDK versioihin.