按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Apache Commons Text 程式庫遭發現內含可遠端執行任意程式碼的漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-10-24
  • 點閱次數:3038
Apache Commons Text 程式庫遭發現內含可遠端執行任意程式碼的漏洞 TWCERT/CC

Github 旗下的資安專家,日前發現廣為使用的開源程式庫 Apache Commons Text,內含一個可讓駭侵者用來發動攻擊,進而遠端執行任意程式碼的漏洞;採用此開源程式庫的應用軟體應立即升級至無此漏洞的新版本。

Apache Commons Text 是個相當受到開發者歡迎的開源 Java 程式庫,內含「文字改寫系統」(interpolation system);開發者可以利用這個系統對輸入的文字進行多種操作,包括修改、解碼、生成、抽取等等。

該漏洞又被稱為「Text4Shell」,其 CVE 編號為 CVE-2022-42889,是存於文字改寫系統中的不安全程式碼評估處理;在預設組態情況下,駭侵者可以輸入特製的惡意內容,來觸發此漏洞,進而遠端執行任意程式碼。

CVE-2022-42889 的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級達到最高等級的「嚴重」(Critical)等級。

資安專家在 Apache 的郵件群組內指出,自 Apache Commons Text 1.5 版起到 1.9 版之間,在預設的 Lookup instance 組態下,存有這個可導致遠端執行任意程式碼,或與遠端伺服器連線的漏洞;用戶應盡早將 Apache Commons Text 升級至 1.10.0 版本,該版本已預設停用有問題的文字改寫系統。

該漏洞是在 2022 年 3 月 9 日由 Github 的資安專家發現,並提報給此開源程式庫的開發單位 Apache Foundation;Apache Foundation 於 10 月 12 日推出修正此漏洞的 Apache Commons Text 1.10.0 版。

建議軟體開發者如有採用上述受影響版本的 Apache Commons Text,應立即升級至已修復此漏洞的 1.10.0 與後續版本。

  • CVE編號:CVE-2022-42889
  • 影響產品(版本):Apache Commons Text 1.5 到 1.9 版。
  • 解決方案:升級至 Apache Commons Text 1.10.0 版與後續版本。
回頁首