Inicio / Alerta Temprana / Avisos Seguridad / RCE en la librería Apache Commons Text

RCE en la librería Apache Commons Text

Fecha de publicación: 
18/10/2022
Identificador: 
INCIBE-2022-0975
Importancia: 
5 - Crítica
Recursos afectados: 

Apache Commons Text, desde la versión 1.5 hasta la 1.9, ambas incluidas.

Descripción: 

Apache ha publicado una vulnerabilidad en su librería Apache Commons Text que podría permitir a un atacante remoto ejecutar código.

Solución: 

Actualizar a Apache Commons Text 1.10.0.

Detalle: 

Apache Commons Text realiza la interpolación de variables, permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es ${prefix:name}, donde prefix se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. En las versiones afectadas el conjunto de instancias de Lookup por defecto incluía interpoladores que podían dar lugar a la ejecución de código arbitrario o al contacto con servidores remotos. Se ha asignado el identificador CVE-2022-42889 para esta vulnerabilidad.

Encuesta valoración