Les chercheurs suivent de près une vulnérabilité critique, récemment divulguée, dans Apache Commons Text, qui permet à des attaquants non authentifiés d'exécuter du code à distance sur des serveurs exécutant des applications avec le composant concerné.

La faille (CVE-2022-42889) est le prochain Log4j, c’est une vulnérabilité critique (de gravité de 9,8), récemment divulguée dans les versions 1.5 à 1.9 d'Apache Commons Text, qui permet à des attaquants non authentifiés d'exécuter du code à distance sur des serveurs exécutant des applications avec le composant concerné. Le code Proof-of-concept pour la vulnérabilité est déjà disponible, bien que jusqu'à présent il n'y ait eu aucun signe d'activité d'exploitation.

L'Apache Software Foundation (ASF) a publié une version mise à jour du logiciel (Apache Commons Text 1.10.0) le 24 septembre, mais n'a publié un avis sur la faille que jeudi le 13 octobre. Dans cet avis, la Fondation décrit la faille comme provenant de défauts non sécurisés lorsque Apache Commons Text effectue l'interpolation de variables, qui est essentiellement le processus de recherche et d'évaluation des valeurs de chaîne dans le code qui contient des caractères de remplacement. À partir de la version 1.5 et jusqu'à la version 1.9, l'ensemble des instances Lookup par défaut comprend des interpolateurs qui peuvent entraîner l'exécution de code arbitraire ou le contact avec des serveurs distants.

Le laboratoire de sécurité de GitHub a déclaré que c'est l'un de ses de ses testeurs qui avait découvert le bogue et l'avait signalé à l'équipe de sécurité d'ASF en mars.

Jfrog Security a déclaré qu'il surveille le bogue et jusqu'à présent, il semble probable que l'impact sera moins étendu que celui de Log4j. Le nouveau CVE-2022-42889 dans Apache Commons Text semble dangereux, il semble que cela n'affecte que les applications qui transmettent des chaînes contrôlées par des attaquants à StringLookupFactory.INSTANCE.interpolatorStringLookup().lookup().

Le fournisseur de sécurité a déclaré que les personnes utilisant Java version 15 et ultérieure devraient être à l'abri de l'exécution de code car l'interpolation de script ne fonctionnera pas. Mais d'autres vecteurs potentiels d'exploitation de la faille -via DNS et URL- fonctionneraient toujours.