Informe Ejecutivo
■ Descripción: CVE-2022-42889, que algunos han comenzado a llamar «Text4Shell«, es una vulnerabilidad en la popular biblioteca de texto, Apache Commons, que puede provocar la ejecución de código al procesar entradas maliciosas. La vulnerabilidad fue anunciada de manera pública el 13 de octubre de 2022 en la lista de desarrolladores de Apache y reportada originalmente por Álvaro Muñoz, cuya fecha de notificación de la vulnerabilidad fue el 9 de marzo de 2022 y solucionada el 24 de septiembre de 2022 en la actualización 1.10.0.
CVE-2022-42889 surge de la implementación insegura de la funcionalidad de interpolación variable de Commons Text; más específicamente, algunas cadenas de búsqueda predeterminadas podrían aceptar entradas no confiables de atacantes remotos, como solicitudes DNS, URL o scripts en línea.
■ Contexto: Apache Commons Text library es una biblioteca alternativa a las funcionalidades nativas de Java JDK para procesar cadenas de texto centradas en algoritmos específicos para administrar este tipo de datos. Sus métodos disponibles permiten el uso de interpolación a través de prefijos, variables y marcas de plantilla.
La lista de versiones afectados son las siguientes:
- Apache Commons Text 1.5
- Apache Commons Text 1.6
- Apache Commons Text 1.7
- Apache Commons Text 1.8
- Apache Commons Text 1.9
■ Puntuación CVSS: 9.8/10
■ Mitigación: La solución principal es actualizar urgentemente el componente Apache Commons Text a la última versión disponible que corrige esta vulnerabilidad. Específicamente, debe actualizar a Apache Commons Text versión 1.10.0 o posterior.
■ Referencias:
- https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om
- https://securitylab.github.com/advisories/GHSL-2022-018_Apache_Commons_Text/
- https://github.com/apache/commons-text/pull/341
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
