CVE-2022-42889 - Text4Shell
Una vulnerabilidad en Apache Commons Text puede llevar a las versiones no parchadas a un RCE.
Recientemente se ha publicado una vulnerabilidad para las aplicaciones que utilizan “Apache Commons Text packages 1.5 through 1.9”.
¿Qué?
Una vulnerabilidad en el componente “Apache Commons Text” puede permitir bajo ciertas condiciones permitir que un atacante pueda ejecutar código arbitrario dentro del servidor (RCE). La vulnerabilidad fue clasificada como CVE-2022-42889 o también conocida como Text4shell. La clasificación de la vulnerabilidad se estableció en 9.8
¿Quién?
La vulnerabilidad fue reportada por @pwntester también conocido como Alvaro Muñoz.
¿Cuándo?
La vulnerabilidad fue reportada al 09 de marzo de 2022 al equipo security@commons.aparche.com y el 12 de octubre se liberó la versión parchada.
En el boletín de apache se indica que la sanitación de los campos siempre será la mejor recomendación. También invitan a actualizar a la versión 1.10.0 pero instan a validar y sanitizar los campos.
“If your own software uses commons-text, double-check whether it uses the StringSubstitutor API without properly sanitizing any untrusted input. If so, an update to 1.10.0 could be a quick workaround, but the recommended solution is to also properly validate and sanitize any untrusted input.”
Alvaro Muñoz indica que a pesar de las similitudes con Log4Shell es poco probable que esta vulnerabilidad tenga el mismo impacto.
Advisory for CVE-2022-42889 #Act4Shell (RCE via Apache Commons Text interpolation). Regardless of the similarities with #log4shell this one should be much less prevalent https://t.co/v4ggkxNgnN
— Alvaro Muñoz
Si quieres saber más puedes ver la publicación en Github de Security Lab
SeanWrightSec liberó una PoC, puedes verla en Github.
![Ron Wyden - NSA Compra Ilegalmente [Meta]Datos de Americanos](https://www.rootednations.com/uploads/images/202401/image_750x415_65b5e777aa9d8.jpg)
