شرکت امنیتی Wordfence روز پنجشنبه اعلام کرد که از 18 اکتبر 2022 شروع به شناسایی حملاتی برای بهرهبرداری از نقص جدید در Apache Commons Text کرده است.
این آسیبپذیری که با شناسه CVE-2022-42889 و نام Text4Shell شناخته میشود، دارای امتیاز 9.8 از 10.0 در مقیاس CVSS است و نسخههای 1.5 تا 1.9 کتابخانه را تحتتأثیر قرار میدهد.
این آسیبپذیری مشابه آسیبپذیری Log4Shell است، و ریشه در روشی دارد که در طول DNS, script, و URL lookups استفاده میشود و میتواند منجر به اجرای کد دلخواه در سیستمهای حساس در هنگام ارسال ورودی نامعتبر شود.
بهرهبرداری موفقیتآمیز از این نقص میتواند مهاجم را قادر سازد تا یک reverse shell connection با برنامه آسیبپذیر را به سادگی برای حملات بعدی باز کند.
در حالی که این مشکل در ابتدا در اوایل مارس 2022 گزارش شد، بنیاد نرم افزار آپاچی (ASF) نسخه بروز شده نرمافزار (1.10.0) را در 24 سپتامبر منتشر کرده و پس از آن در هفته گذشته در 13 اکتبر یک توصیهنامه صادر کرد.
به کاربرانی که وابستگی مستقیم به Apache Commons Text دارند، توصیه میشود برای کاهش تهدیدات احتمالی، آن را به آخرین نسخه دردسترس ارتقا دهند.
طبق گزارش Maven Repository، در حال حاضر 2593 پروژه از کتابخانه Apache Commons Text استفاده میکنند.
این آسیبپذیری که با شناسه CVE-2022-42889 و نام Text4Shell شناخته میشود، دارای امتیاز 9.8 از 10.0 در مقیاس CVSS است و نسخههای 1.5 تا 1.9 کتابخانه را تحتتأثیر قرار میدهد.
این آسیبپذیری مشابه آسیبپذیری Log4Shell است، و ریشه در روشی دارد که در طول DNS, script, و URL lookups استفاده میشود و میتواند منجر به اجرای کد دلخواه در سیستمهای حساس در هنگام ارسال ورودی نامعتبر شود.
بهرهبرداری موفقیتآمیز از این نقص میتواند مهاجم را قادر سازد تا یک reverse shell connection با برنامه آسیبپذیر را به سادگی برای حملات بعدی باز کند.
در حالی که این مشکل در ابتدا در اوایل مارس 2022 گزارش شد، بنیاد نرم افزار آپاچی (ASF) نسخه بروز شده نرمافزار (1.10.0) را در 24 سپتامبر منتشر کرده و پس از آن در هفته گذشته در 13 اکتبر یک توصیهنامه صادر کرد.
به کاربرانی که وابستگی مستقیم به Apache Commons Text دارند، توصیه میشود برای کاهش تهدیدات احتمالی، آن را به آخرین نسخه دردسترس ارتقا دهند.
طبق گزارش Maven Repository، در حال حاضر 2593 پروژه از کتابخانه Apache Commons Text استفاده میکنند.