Matt Juntunen

**Nome do software vulnerável e versões afetadas** Apache Commons Configuration, versões 2.4 a 2.7 **Descrição** O problema está relacionado ao recurso de interpolação de variáveis do Apache Commons Configuration, que permite que propriedades sejam avaliadas e expandidas dinamicamente. O formato padrão para interpolação é “${prefix:name}”, onde “prefix” é usado para localizar uma instância de org.apache.commons.configuration2.interpol.Lookup que realiza a interpolação. As versões afetadas incluem instâncias padrão do Lookup que podem resultar na execução de código arbitrário ou contato com servidores remotos, especificamente as pesquisas “script”, ‘dns’ e “url”. Essas pesquisas podem executar expressões usando o mecanismo de execução de scripts da JVM, resolver registros DNS e carregar valores de URLs, inclusive de servidores remotos. Aplicativos que utilizam os padrões de interpolação nas versões afetadas podem estar vulneráveis à execução remota de código ou ao contato não intencional com servidores remotos caso sejam utilizados valores de configuração não confiáveis. **Recomendações** Atualize para o Apache Commons Configuration 2.8.0, que desativa os interpoladores problemáticos por padrão. Como solução alternativa temporária, considere desativar as pesquisas “script”, ‘dns’ e “url” para minimizar o risco de exploração. Restrinja o acesso a valores de configuração não confiáveis para evitar a possível execução remota de código ou contato não intencional com servidores remotos.