کارشناسان نسبت به آسیبپذیری Text4Shell در کتابخانه Apache Commons Text خبر دادند.
۰
منبع : مرکز ماهر
کارشناسان نسبت به آسیبپذیری Text4Shell در کتابخانه Apache Commons Text خبر دادند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، همانطور که در دسامبر سال گذشته آسیبپذیری Log4Shell بسیاری از محصولات جاوا را که از کتابخانهی Log4J استفاده میکردند، تحت تأثیر قرار داد، اکنون آسیبپذیری جدیدی به نام Text4Shell در این محصولات کشف شده است.
این آسیبپذیری آن دسته از محصولات جاوا را که از عملکرد خاصی از کتابخانه Apache Commons Text استفاده میکنند، تحت تأثیر قرار میدهد. این نقص میتواند منجر به اجرای کد هنگام پردازش ورودیهای مخرب شود.
آسیبپذیری تازه کشف شده با شناسه CVE-2022-42889 و شدت بحرانی ۹.۸ از ۱۰ گزارش شده است که در کتابخانه Apache Commons Text وجود دارد و امکان اجرای کد از راه دور را روی سرور برای مهاجم فراهم میکند.
کتابخانه Apache Commons Text، یک کتابخانهی جایگزین برای قابلیتهای Java JDK است که به منظور پردازش رشتههای متنی متمرکز بر الگوریتمهای خاص _که برای مدیریت اینگونه داده به کار میروند_ استفاده میشود. متدهای این کتابخانه امکان درونیابی (جایگزینی متغیرهایی با مقادیر داخل یک رشته تحتاللفظی) متن را از طریق پیشوندها، متغیرها و template markها فراهم میکنند.
این نقص ناشی از اجرای ناامن عملکرد درونیابی متغیر Commons Text است، چرا که برخی از رشتههای جستجوی پیشفرض به طور بالقوه میتوانند ورودیهای نامعتبر مانند درخواستهای DNS، URLها یا اسکریپتهای درونخطی را از مهاجمان راه دور بپذیرند.
علیرغم امتیاز بالایی که به این آسیبپذیری اختصاص داده شده است، باید این نکته را یادآور شد که به ندرت پیش میآید برنامهای از مؤلفه آسیبپذیر کتابخانه Apache Commons Text در پردازش ورودیهای نامعتبر و بالقوه مخرب کاربر استفاده کند و این یعنی احتمال بهرهبرداری از این آسیبپذیری در مقایسه با Log4Shell بسیار کم است.
این آسیبپذیری کتابخانه Apache Commons Text نسخهی ۱.۵ تا ۱.۹ را تحت تأثیر قرار میدهد.
به منظور رفع این آسیبپذیری، کتابخانه Apache Commons Text باید به آخرین نسخه یعنی نسخهی ۱.۱۰.۰ یا بالاتر ارتقا داده شود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، همانطور که در دسامبر سال گذشته آسیبپذیری Log4Shell بسیاری از محصولات جاوا را که از کتابخانهی Log4J استفاده میکردند، تحت تأثیر قرار داد، اکنون آسیبپذیری جدیدی به نام Text4Shell در این محصولات کشف شده است.
این آسیبپذیری آن دسته از محصولات جاوا را که از عملکرد خاصی از کتابخانه Apache Commons Text استفاده میکنند، تحت تأثیر قرار میدهد. این نقص میتواند منجر به اجرای کد هنگام پردازش ورودیهای مخرب شود.
آسیبپذیری تازه کشف شده با شناسه CVE-2022-42889 و شدت بحرانی ۹.۸ از ۱۰ گزارش شده است که در کتابخانه Apache Commons Text وجود دارد و امکان اجرای کد از راه دور را روی سرور برای مهاجم فراهم میکند.
کتابخانه Apache Commons Text، یک کتابخانهی جایگزین برای قابلیتهای Java JDK است که به منظور پردازش رشتههای متنی متمرکز بر الگوریتمهای خاص _که برای مدیریت اینگونه داده به کار میروند_ استفاده میشود. متدهای این کتابخانه امکان درونیابی (جایگزینی متغیرهایی با مقادیر داخل یک رشته تحتاللفظی) متن را از طریق پیشوندها، متغیرها و template markها فراهم میکنند.
این نقص ناشی از اجرای ناامن عملکرد درونیابی متغیر Commons Text است، چرا که برخی از رشتههای جستجوی پیشفرض به طور بالقوه میتوانند ورودیهای نامعتبر مانند درخواستهای DNS، URLها یا اسکریپتهای درونخطی را از مهاجمان راه دور بپذیرند.
علیرغم امتیاز بالایی که به این آسیبپذیری اختصاص داده شده است، باید این نکته را یادآور شد که به ندرت پیش میآید برنامهای از مؤلفه آسیبپذیر کتابخانه Apache Commons Text در پردازش ورودیهای نامعتبر و بالقوه مخرب کاربر استفاده کند و این یعنی احتمال بهرهبرداری از این آسیبپذیری در مقایسه با Log4Shell بسیار کم است.
این آسیبپذیری کتابخانه Apache Commons Text نسخهی ۱.۵ تا ۱.۹ را تحت تأثیر قرار میدهد.
به منظور رفع این آسیبپذیری، کتابخانه Apache Commons Text باید به آخرین نسخه یعنی نسخهی ۱.۱۰.۰ یا بالاتر ارتقا داده شود.
کد مطلب : 19729
https://aftana.ir/vdchwqnz.23nwidftt2.htmlaftana.ir/vdchwqnz.23nwidftt2.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵