Apache Commons Text遠(yuǎn)程代碼執(zhí)行漏洞通告

近日，亞信安全CERT監(jiān)控到Apache針對(duì)Apache Commons Text進(jìn)行了安全更新，Apache Commons Text 受影響版本存在遠(yuǎn)程代碼執(zhí)行漏洞，因?yàn)槠淠J(rèn)使用的Lookup實(shí)例集包括可能導(dǎo)致任意代碼執(zhí)行或與遠(yuǎn)程服務(wù)器信息交換的插值器，如script標(biāo)簽可以使用 JVM 腳本執(zhí)行引擎 (javax.script) 執(zhí)行表達(dá)式，dns標(biāo)簽可以解析 dns 記錄，url標(biāo)簽可以從 url 加載值。攻擊者可利用該漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行。

Apache Commons Text是一款處理字符串和文本塊的開源項(xiàng)目，用于各種類型的字符串轉(zhuǎn)義，為標(biāo)準(zhǔn)JDK的文本處理提供了補(bǔ)充。

漏洞編號(hào)：

CVE-2022-42889

漏洞等級(jí)：

CVSS3 8.2

漏洞狀態(tài)：

受影響的版本：

1.5 <= Apache Common Text <= 1.9

漏洞復(fù)現(xiàn)：

修復(fù)建議：

·        過濾StringSubstitutor處理的可控參數(shù)

·        升級(jí)Apache Common Text至1.10.0及以上版本，下載地址：https://github.com/apache/commons-text/releases/tag/rel%2Fcommons-text-1.10.0

參考鏈接：

·        https://nvd.nist.gov/vuln/detail/CVE-2022-42889

·        https://seclists.org/oss-sec/2022/q4/22

·        https://github.com/apache/commons-text/pull/341

·        https://github.com/apache/commons-text/commit/b9b40b903e2d1f9935039803c9852439576780ea#diff-210f245a39e5a5d762459368a514246d985a5b52f24e0d1e9321c96aab9f3226