Kritisk sårbarhet i Apache Commons Text

Apache har släppt en uppdatering av Apache Commons Text som hanterar den kritiska sårbarheten CVE-2022-42889 (CVSS-klassning 9,8). [1]Sårbarheten gör det möjligt att nyttja en funktion för bearbetning av variabler för att fjärrköra godtycklig kod.[2]

Uppdatering 2022-10-18

Kod i form av proof of concept som utnyttjar sårbarheten är tillgänglig [3].

Påverkade produkter

Apache Commons Text 1.5 - 1.9

Rekommendationer

CERT-SE rekommenderar att säkerhetsuppdatera sårbara produkter till den senaste versionen. Version 1.10.0 ändrar grundinställningarna i produkten för att mildra sårbarheten [2].

Källor

[1] https://commons.apache.org/proper/commons-text/changes-report.html#a1.10.0

[2] https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om

[3] https://www.darkreading.com/application-security/researchers-keep-a-wary-eye-on-critical-new-vulnerability-in-apache-commons-text