CVE-2022-33980

Apache Commons Configuration, versões 2.4 a 2.7

O problema está relacionado ao recurso de interpolação de variáveis do Apache Commons Configuration, que permite que propriedades sejam avaliadas e expandidas dinamicamente. O formato padrão para interpolação é “${prefix:name}”, onde “prefix” é usado para localizar uma instância de org.apache.commons.configuration2.interpol.Lookup que realiza a interpolação. As versões afetadas incluem instâncias padrão do Lookup que podem resultar na execução de código arbitrário ou contato com servidores remotos, especificamente as pesquisas “script”, ‘dns’ e “url”. Essas pesquisas podem executar expressões usando o mecanismo de execução de scripts da JVM, resolver registros DNS e carregar valores de URLs, inclusive de servidores remotos. Aplicativos que utilizam os padrões de interpolação nas versões afetadas podem estar vulneráveis à execução remota de código ou ao contato não intencional com servidores remotos caso sejam utilizados valores de configuração não confiáveis.

Atualize para o Apache Commons Configuration 2.8.0, que desativa os interpoladores problemáticos por padrão.

Como solução alternativa temporária, considere desativar as pesquisas “script”, ‘dns’ e “url” para minimizar o risco de exploração.

Restrinja o acesso a valores de configuração não confiáveis para evitar a possível execução remota de código ou contato não intencional com servidores remotos.