Introducción
Apache Commons Text es una biblioteca dedicada a los algoritmos de procesamiento de cadenas. Se ha asignado una calificación de gravedad 9.8 a la vulnerabilidad de ejecución remota de código de Apache Commons Text, que permite a los atacantes ejecutar código arbitrario en un sistema y comprometer todo el host.
Vulnerabilidad
Esta vulnerabilidad es en gran parte atribuible a la incorrecta validación de los valores por defecto de la interpolación StringSubstitutor — un fallo lógico que hace que las claves de búsqueda de scripts, DNS y URL se interpolen por defecto, en lugar de una validación estricta.
El prefijo en el formato de interpolación de Apache Commons Text ${prefix:name} se utiliza para localizar la instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. Pero si la instancia contiene valores de configuración no confiables, los atacantes pueden ejecutar código malicioso construyendo texto malicioso. Inyectan texto malicioso que contiene palabras clave que pueden desencadenar una solicitud DNS, una llamada a una URL remota o un script en línea para ejecutar, de modo que pueden desencadenar la ejecución de código arbitrario, extrayendo código de fuentes externas o incrustando scripts arbitrarios.
Versión afectada
1.5 <= Apache Commons Text<=1.9
Remediación
1. Solución oficial: El proveedor ha publicado los parches, y recomendamos a los usuarios que actualicen a Apache Commons Text 1.10.0. Por favor, visite:
https://commons.apache.org/proper/commons-text/download_text.cgi
2. Métodos de referencia en GitHub: Podemos solucionar la vulnerabilidad haciendo que las búsquedas de cadenas por defecto sean configurables a través de una propiedad del sistema y eliminando las búsquedas de DNS, URL y script por defecto. Por favor, visita:
https://github.com/apache/commons-text/commit/b9b40b903e2d1f9935039803c9852439576780ea
Implementación de la solución
Hillstone Networks Intrusion Prevention System (IPS) puede apoyar la detección y protección de esta vulnerabilidad.
La inteligencia sobre esta vulnerabilidad también está disponible en Hillstone Networks iSource.