- Publicité -


Vulnérabilité de texte Apache Commons

La société de sécurité WordPress Wordfence a déclaré jeudi qu’elle avait commencé à détecter les tentatives d’exploitation ciblant la faille récemment révélée dans Texte Apache Commons le 18 octobre 2022.

La vulnérabilité, suivie comme CVE-2022-42889 alias Text4Shells’est vu attribuer un classement de gravité de 9,8 sur 10,0 possibles sur l’échelle CVSS et affecte les versions 1.5 à 1.9 de la bibliothèque.

Il est également similaire à la désormais tristement célèbre vulnérabilité Log4Shell en ce que le publier s’enracine dans la manière substitutions de chaînes effectué pendant Recherches DNS, de script et d’URL pourrait conduire à l’exécution de code arbitraire sur des systèmes sensibles lors de la transmission d’entrées non fiables.

- Publicité -
La cyber-sécurité

UN exploitation réussie de la faille peut permettre à un pirate d’ouvrir une connexion shell inversée avec l’application vulnérable simplement via une charge utile spécialement conçue, ouvrant ainsi la porte à des attaques ultérieures.

Tandis que le publier était à l’origine signalé début mars 2022, l’Apache Software Foundation (ASF) a publié une Version mise à jour du logiciel (1.10.0) le 24 septembre, suivi de émettre un avis seulement la semaine dernière le 13 octobre.

“Heureusement, tous les utilisateurs de cette bibliothèque ne seraient pas affectés par cette vulnérabilité – contrairement à Log4J dans la vulnérabilité Log4Shell, qui était vulnérable même dans ses cas d’utilisation les plus élémentaires”, a déclaré Yaniv Nizry, chercheur chez Checkmarx. a dit.

“Apache Commons Text doit être utilisé d’une certaine manière pour exposer la surface d’attaque et rendre la vulnérabilité exploitable.”

Wordfence a également réitéré que la probabilité d’une exploitation réussie est considérablement limitée par rapport à Log4j, la plupart des charges utiles observées jusqu’à présent étant conçues pour rechercher des installations vulnérables.

“Une tentative réussie aurait pour conséquence que le site victime adresserait une requête DNS au domaine d’écoute contrôlé par l’attaquant”, a déclaré le chercheur de Wordfence, Ram Gall. a ditl’ajout de requêtes avec des préfixes de script et d’URL a été relativement plus faible en volume.

La cyber-sécurité

Au contraire, le développement est une autre indication des risques de sécurité potentiels posés par les dépendances open source tierces, nécessitant que les organisations évaluent régulièrement leur surface d’attaque et mettent en place des stratégies de gestion des correctifs appropriées.

Les utilisateurs qui dépendent directement d’Apache Commons Text sont conseillé mettre à niveau vers la version corrigée pour atténuer les menaces potentielles. Selon Référentiel Mavenpas moins de 2 593 projets utilisent la bibliothèque Apache Commons Text.

La faille Apache Commons Text fait également suite à une autre faille de sécurité critique qui a été divulguée dans Apache Commons Configuration en juillet 2022 (CVE-2022-33980score CVSS : 9,8), ce qui pourrait résultat dans l’exécution de code arbitraire grâce à la fonctionnalité d’interpolation de variable.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici