Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

黑客开始利用关键的“Text4Shell”Apache Commons Text 漏洞

 Share


HACK1949

Recommended Posts

Apache Commons 文本漏洞

WordPress 安全公司 Wordfence 周四表示,它于2022 年 10 月 18 日开始检测针对Apache Commons Text中新披露的漏洞的利用尝试。

该漏洞被跟踪为CVE-2022-42889 aka Text4Shell,在 CVSS 等级上的严重性等级为 9.8(满分为 10.0),并影响库的 1.5 至 1.9 版本。

它也类似于现在臭名昭著的Log4Shell漏洞,因为该问题的根源在于在DNS、脚本和 URL 查找期间执行的字符串替换方式可能导致在传递不受信任的输入时在易受攻击的系统上执行任意代码。

成功利用该漏洞可以使威胁参与者仅通过特制的有效负载打开与易受攻击的应用程序的反向 shell 连接,从而有效地为后续攻击打开大门。

虽然该问题最初是在 2022 年 3 月上旬报告的,但 Apache 软件基金会 (ASF) 于 9 月 24 日发布了该软件的更新版本(1.10.0),随后仅在上周的 10 月 13 日才发布了公告。

“幸运的是,并不是这个库的所有用户都会受到这个漏洞的影响——这与 Log4Shell 漏洞中的 Log4J 不同,即使在最基本的用例中也很容易受到攻击,”Checkmarx 研究员 Yaniv Nizry

“必须以某种方式使用 Apache Commons Text 来暴露攻击面并使漏洞可被利用。”

Wordfence 还重申,与 Log4j 相比,成功利用的可能性在范围上非常有限,迄今为止观察到的大多数有效载荷都旨在扫描易受攻击的安装。

“成功的尝试将导致受害者站点向攻击者控制的侦听器域进行 DNS 查询,”Wordfence 研究员 Ram Gall,添加带有脚本和 URL 前缀的请求的数量相对较少。

如果有的话,这种发展是第三方开源依赖项带来的潜在安全风险的另一个迹象,需要组织定期评估他们的攻击面并设置适当的补丁管理策略。

建议直接依赖 Apache Commons Text 的用户升级到固定版本以减轻潜在威胁。据Maven Repository称,多达 2,593 个项目使用该库,尽管 Flashpoint指出列出的项目中很少有人使用易受攻击的方法。

Apache Commons Text 漏洞还遵循 2022 年 7 月在 Apache Commons Configuration 中披露的另一个严重安全漏洞(CVE-2022-33980,CVSS 分数:9.8),这可能导致通过变量插值功能执行任意代码。

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...