RCE-уязвимость обнаружена в библиотеке Apache Commons Text

Аналитик угроз GitHub Альваро Муньос обнаружил уязвимость удаленного выполнения кода CVE-2022-42889 в библиотеке с открытым исходным кодом Apache Commons Text . Эта библиотека ориентирована на алгоритмы, работающие со строками.

Уязвимость, получившая название «Text4Shell», представляет собой проблему оценки скрипта, вызванную системой интерполяции. Злоумышленник может использовать уязвимость, чтобы вызвать выполнение кода при обработке злонамеренного ввода в конфигурации библиотеки по умолчанию.

Заменитель строк StringSubstitutor при использовании с интерполяторами по умолчанию будет выполнять поиск строк, что может привести к выполнению произвольного кода. Apache Commons Text полагается на систему интерполяции для управления строками.

По словам Apache, приложения, использующие интерполяцию по умолчанию, могут быть уязвимы для удаленного выполнения кода или непреднамеренного контакта с удаленными серверами, если используются ненадежные значения конфигурации.

Уязвимость затрагивает версии от 1.5 по 1.9. Проблема устранена с выпуском Apache Commons Text 1.10.0, который по умолчанию отключает проблемные интерполяторы.

Некоторые эксперты и разработчики сравнивают Text4Shell с Log4Shell (отсюда и схожее название), поскольку это ошибка уровня открытой библиотеки, которая может повлиять на широкий спектр программных приложений, использующих соответствующий объект.

Команда безопасности Apache подтвердила, что проблема отличается от Log4Shell, поскольку в Log4Shell была возможна интерполяция строк из тела сообщения журнала, которое обычно содержит ненадежные входные данные. В Text4Shell соответствующий метод предназначен для выполнения интерполяции строк, поэтому гораздо меньше вероятность того, что приложения непреднамеренно передают ненадежный ввод без надлежащей проверки.