CVE-2022-42889

Apache Commons Text, versões 1.5 a 1.9

O problema diz respeito a uma vulnerabilidade no Apache Commons Text que permite a interpolação de variáveis, possibilitando que propriedades sejam avaliadas e expandidas dinamicamente. O formato padrão para interpolação é “${prefix:name}”, onde “prefix” é usado para localizar uma instância de org.apache.commons.text.lookup.StringLookup que realiza a interpolação. A partir da versão 1.5 e até a 1.9, o conjunto de instâncias padrão do Lookup incluía interpoladores que poderiam resultar na execução de código arbitrário ou no contato com servidores remotos. Essas pesquisas são: - “script” - executa expressões usando o mecanismo de execução de scripts da JVM (javax.script) - ‘dns’ - resolve registros DNS - “url” - carrega valores de URLs, incluindo de servidores remotos. Aplicativos que utilizam os padrões de interpolação nas versões afetadas podem estar vulneráveis à execução remota de código ou ao contato não intencional com servidores remotos caso sejam utilizados valores de configuração não confiáveis. Pesquisadores detectaram tentativas ativas de exploração visando essa vulnerabilidade.

Para resolver o problema, recomenda-se que os usuários atualizem para o Apache Commons Text 1.10.0, que desativa os interpoladores problemáticos por padrão. Como solução alternativa temporária, considere desativar as instâncias vulneráveis de StringLookup, como “script”, ‘dns’ e “url”, para minimizar o risco de exploração. Restrinja o acesso ao vulnerável