警惕Apache 共享资源文本中的关键新漏洞

研究人员正在密切跟踪Apache Commons Text中一个新的关键漏洞，该漏洞使未经身份验证的攻击者能够在运行带有受影响组件的应用程序的服务器上远程执行代码。

该漏洞(CVE-2022-42889)的严重性等级为9.8 (CVSS等级为10.0)，存在于Apache Commons Text的1.5到1.9版本中。该漏洞的概念验证代码已经可用，但到目前为止还没有发现利用活动的迹象。

更新版本可用

9月24日，Apache软件基金会(ASF)发布了该软件的更新版本(Apache Commons Text 1.10.0)，但直到上周四才发布了关于该漏洞的建议。

在报告中，基金会称该缺陷源于Apache Commons Text执行变量插值时的不安全默认值，这基本上是在包含占位符的代码中查找和计算字符串值的过程。“从1.5版本开始，一直到1.9版本，默认的Lookup实例集包括插值器，可能导致任意代码执行或与远程服务器的联系，”该报告称。

与此同时，NIST敦促用户升级到Apache Commons Text 1.10.0，称该版本“默认禁用有问题的插值器”。

ASF Apache将公共文本库描述为对标准Java开发工具包(JDK)文本处理的补充。根据Maven Central Java存储库中的数据，目前大约有2,588个项目使用该库，包括一些主要的项目，如Apache Hadoop Common、Spark Project Core、Apache Velocity和Apache Commons Configuration。

GitHub安全实验室表示，它的一名渗透测试员发现了这个漏洞，并在3月份向ASF的安全团队报告了它。

迄今为止，追踪该漏洞的研究人员在评估其潜在影响时一直很谨慎。著名的安全研究员凯文·博蒙特(Kevin Beaumont)周一在推特上表示想知道，该漏洞是否会导致潜在的Log4shell情况，他指的是去年年底臭名昭著的Log4j漏洞。

“Apache Commons Text支持允许在用户提供的文本字符串中执行代码的函数，”Beaumont说。但他说，为了利用它，攻击者需要找到使用该功能的Web应用程序，同时也接受用户输入。他在推特上写道:“我还不会打开MSPaint，除非有人能找到使用这个功能的网络应用程序，并允许用户提供输入。”

概念验证加剧了担忧

来自威胁情报公司GreyNoise的研究人员告诉记者，该公司知道CVE-2022-42889的PoC即将可用。据他们说，新的漏洞与2022年7月宣布的一个ASF几乎相同，也与Commons Text中的变量插值有关。该漏洞(CVE-2022-33980)是在Apache通用配置中发现的，其严重性等级与新漏洞相同。

GreyNoise的研究人员说:“我们知道CVE-2022-42889的概念验证代码可以在一个故意易受攻击和受控的环境中触发漏洞。”

Jfrog Security表示，他们正在监控这个漏洞，到目前为止，它的影响可能不会像Log4j那么广泛。JFrog在推特上说:“Apache Commons Text中的新CVE-2022-42889看起来很危险。”“似乎只影响那些将攻击者控制的字符串传递给stringlookupfactory.INSTANCE

. interpolatorstringlookup ().lookup()的应用程序，”它说。

该安全供应商表示，使用Java版本15及更高版本的用户在执行代码时应该是安全的，因为脚本插值不起作用。但它指出，其他潜在的利用漏洞的途径，通过DNS和URL仍然可以发挥作用。

及时了解漏洞情况以及检测查找软件安全漏洞，在应用软件开发期间使用静态代码安全检测工具可以从源头避免漏洞存在。另外，按时更新漏洞补丁可以避免遭到网络犯罪分子的进一步攻击。

文章来源：

https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text