شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
جالب است ۰
کارشناسان نسبت به آسیب‌پذیری Text4Shell در کتابخانه Apache Commons Text خبر دادند.
منبع : مرکز ماهر
کارشناسان نسبت به آسیب‌پذیری Text4Shell در کتابخانه Apache Commons Text خبر دادند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، همانطور که در دسامبر سال گذشته آسیب‌پذیری Log4Shell بسیاری از محصولات جاوا را که از کتابخانه‌ی Log4J استفاده می‌کردند، تحت تأثیر قرار داد، اکنون آسیب‌پذیری جدیدی به نام Text4Shell در این محصولات کشف شده است.

این آسیب‌پذیری آن دسته از محصولات جاوا را که از عملکرد خاصی از کتابخانه Apache Commons Text استفاده می‌کنند، تحت تأثیر قرار می‌دهد. این نقص می‌تواند منجر به اجرای کد هنگام پردازش ورودی‌های مخرب شود.

آسیب‌پذیری تازه کشف شده با شناسه CVE-2022-42889 و شدت بحرانی ۹.۸ از ۱۰ گزارش شده است که در کتابخانه Apache Commons Text وجود دارد و امکان اجرای کد از راه دور را روی سرور برای مهاجم فراهم می‌کند.

کتابخانه Apache Commons Text، یک کتابخانه‌ی جایگزین برای قابلیت‌های Java JDK است که به منظور پردازش رشته‌های متنی متمرکز بر الگوریتم‌های خاص _که برای مدیریت اینگونه داده به کار می‌روند_ استفاده می‌شود. متدهای این کتابخانه امکان درون‌یابی (جایگزینی متغیرهایی با مقادیر داخل یک رشته تحت‌اللفظی) متن را از طریق پیشوندها، متغیرها و template markها فراهم می‌کنند.

این نقص ناشی از اجرای ناامن عملکرد درون‌یابی متغیر Commons Text است، چرا که برخی از رشته‌های جستجوی پیش‌فرض به طور بالقوه می‌توانند ورودی‎های نامعتبر مانند درخواست‌های DNS، URLها یا اسکریپت‌های درون‌خطی را از مهاجمان راه دور بپذیرند.

علی‌رغم امتیاز بالایی که به این آسیب‌پذیری اختصاص داده شده است، باید این نکته را یادآور شد که به ندرت پیش‌ می‌آید برنامه‌ای از مؤلفه‌ آسیب‌پذیر کتابخانه Apache Commons Text در پردازش ورودی‌های نامعتبر و بالقوه مخرب کاربر استفاده کند و این یعنی احتمال بهره‌برداری از این آسیب‌پذیری در مقایسه با Log4Shell بسیار کم است.

این آسیب‌پذیری کتابخانه Apache Commons Text نسخه‌ی ۱.۵ تا ۱.۹ را تحت تأثیر قرار می‌دهد.

به منظور رفع این آسیب‌پذیری، کتابخانه Apache Commons Text باید به آخرین نسخه یعنی نسخه‌ی ۱.۱۰.۰ یا بالاتر ارتقا داده شود.
کد مطلب : 19729
https://aftana.ir/vdchwqnz.23nwidftt2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی