CCN-CERT AV 17/22 Vulnerabilidad en Apache Commons Text

Cabecera
separador
Vulnerabilidad en Apache Commons Text

Fecha de publicación: 19/10/2022
Nivel de peligrosidad: Crítica

El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de un aviso de seguridad que afecta a la librería enfocada en algoritmos conocida como Apache Commons Text.

El fallo detectado, el cual ha sido catalogado bajo el CVE-2022-42889, permite a un atacante remoto la posibilidad de ejecutar código arbitrario (RCE).

Por una publicación del analista de ciberseguridad Kevin Beaumont en Twitter, se ha dado a conocer que esta vulnerabilidad fue reportada en el mes de marzo de este año, por el investigador Álvaro Muñoz. Adicionalmente, se ha detectado la presencia de pruebas de concepto (PoC) que muestran cómo aprovechar dicho fallo.

A continuación, se muestran los detalles técnicos conocidos a día de hoy sobre la vulnerabilidad crítica dados a conocer de forma pública.

CVE-2022-42889: Vulnerabilidad que existe debido a un defecto de interpolación insegura de variables permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es ${prefix:name}, donde prefix se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. Un atacante remoto, debido a que versiones afectadas contienen un conjunto de instancias de Lookup que por defecto incluyen interpoladores, puede enviar una entrada especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

La base de datos del NIST ha registrado esta vulnerabilidad y le ha asignado una puntuación de 9.8 según la escala CVSSv3, siendo calificada con una severidad crítica. En adición a lo anterior, el fabricante la ha clasificado como crítica. Por el momento no se conoce actividad dañina en la red, pero si existe la presencia de exploits que aprovechan esta vulnerabilidad, estando disponible una prueba de concepto (PoC) detallada en el siguiente hilo de Twitter por la cuenta JFrog Security:

Recursos afectados

La anterior vulnerabilidad afecta a los siguientes productos:

  • Apache Commons Text Versiones 1.5 - 1.9

Solución a la vulnerabilidad

Debido a la capacidad de explotar este problema de forma remota, la compañía recomienda encarecidamente a todos los clientes de productos con versiones vulnerables que realicen una actualización inmediata a la versión 1.10.0 de Apache Commons Text, disponible en el siguiente enlace:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas a las actualizaciones ofrecidas por el fabricante para solucionar las vulnerabilidades.

Referencias

Atentamente,

Equipo CCN-CERT

 
 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT