Vulnérabilité critique d’exécution de code dans Apache Commons Text

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/038

Date de l’alerte: 20/10/2022

APERÇU :

Une vulnérabilité de type exécution de code à distance a été découverte dans le logiciel Apache Commons Text. Cette vulnérabilité ressemble à la vulnérabilité Log4Shell, et est référencée sous le CVE-2022-42889 Text4Shell.

DESCRIPTION :

Apache Commons Text est un composant logiciel utilisé pour manipuler des chaînes de caractères. Ce composant est utilisé pour vérifier si une chaîne de caractères en contient une autre, ou pour construire des messages à partir d’un format préconfiguré.

La vulnérabilité CVE-2022-42889 Text4Shell consiste à injecter sur un logiciel vulnérable une charge malveillante, qui demandera à Apache Commons Text de chercher une valeur issue d’une source tierce, avec DNS, ou via une exécution de script.

Le score CVSS 3 de cette vulnérabilité est évalué à 9.8.

IMPACT :

  • Exécution de code à distance
  • Compromission du système

SYSTEMES AFFECTÉS

  • Les versions de Apache Commons Text de 1.5 à 1.9 incluses.

MESURES À PRENDRE :

Il est fortement recommandé d’appliquer les mises à jour publiées, vers la version 1.10.0.

REFERENCES :

Partagez sur vos réseaux.