Blog

Alerta de seguridad por nueva vulnerabilidad crítica para Apache Commons Text, CVE-2022-42889 aka Text4Shell

Informe Ejecutivo

■ Descripción: CVE-2022-42889, que algunos han comenzado a llamar «Text4Shell«, es una vulnerabilidad en la popular biblioteca de texto, Apache Commons, que puede provocar la ejecución de código al procesar entradas maliciosas. La vulnerabilidad fue anunciada de manera pública el 13 de octubre de 2022 en la lista de desarrolladores de Apache y reportada originalmente por Álvaro Muñoz, cuya fecha de notificación de la vulnerabilidad fue el 9 de marzo de 2022 y solucionada el 24 de septiembre de 2022 en la actualización 1.10.0.

CVE-2022-42889 surge de la implementación insegura de la funcionalidad de interpolación variable de Commons Text; más específicamente, algunas cadenas de búsqueda predeterminadas podrían aceptar entradas no confiables de atacantes remotos, como solicitudes DNS, URL o scripts en línea.

■ Contexto: Apache Commons Text library es una biblioteca alternativa a las funcionalidades nativas de Java JDK para procesar cadenas de texto centradas en algoritmos específicos para administrar este tipo de datos. Sus métodos disponibles permiten el uso de interpolación a través de prefijos, variables y marcas de plantilla.

La lista de versiones afectados son las siguientes:

  • Apache Commons Text 1.5
  • Apache Commons Text 1.6
  • Apache Commons Text 1.7
  • Apache Commons Text 1.8
  • Apache Commons Text 1.9

■ Puntuación CVSS: 9.8/10

■ Mitigación: La solución principal es actualizar urgentemente el componente Apache Commons Text a la última versión disponible que corrige esta vulnerabilidad. Específicamente, debe actualizar a Apache Commons Text versión 1.10.0 o posterior.

 Referencias:

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required