Phát hiện lỗ hổng nghiêm trọng trong thư viện Apache Commons Text

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Phát hiện lỗ hổng nghiêm trọng trong thư viện Apache Commons Text
Các nhà nghiên cứu cảnh báo, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, tuy nhiên không quá nguy hiểm như Log4Shell.

Getty.jpg

Thư viện Apache Commons Text chủ yếu tập trung vào các thuật toán hoạt động trên chuỗi. Nó bao gồm một API, cho phép nội suy hoặc thay thế, và cho các thuộc tính được đánh giá và mở rộng động.

Theo các nhà nghiên cứu JFrog, một số chức năng của thư viện có thể dẫn đến việc thực thi mã từ xa nếu dữ liệu do hacker kiểm soát được chuyển đến các chức năng này.

Lỗ hổng chỉ có thể bị khai thác trong trường hợp một số code Java tồn tại và sử dụng thư viện này và chuyển dữ liệu do hacker kiểm soát đến các chức năng cụ thể”, Shachar Menashe, Giám đốc cấp cao tại JFrog cho biết.

Lỗ hổng CVE-2022-42889 xuất hiện 10 tháng sau Log4Shell – lỗ hổng được đánh giá là một trong những vấn đề nghiêm trọng nhất trong 20 năm qua. Log4Shell từng gây chấn động bởi nguy cơ tấn công từ các tổ chức gián điệp quốc gia tới tội phạm mạng, tuy nhiên thiệt hại thực tế không quá tồi tệ như lo ngại ban đầu.

Vào tháng 7, Hội đồng Đánh giá An toàn Mạng đã đưa ra một báo cáo xác nhận Log4Shell sẽ không ảnh hưởng như lo ngại ban đầu, nhưng vẫn là một lỗ hổng an ninh đặc hữu.

Lỗ hổng Apache Commons Text này được cho là không nghiêm trọng như Log4Shell, vì các chức năng này ít có khả năng nhận được thông tin đầu vào của người dùng hơn.

Các nhà nghiên cứu từ GreyNoise cho biết, họ đã biết về PoC lỗ hổng và có thể kích hoạt nó trong môi trường thử nghiệm. Tuy nhiên, chưa phát hiện việc khai thác lỗ hổng để tấn công trong thực tế.

Một lỗ hổng an ninh tương tự, có mã theo dõi là CVE-2022-33980, cùng mức độ nghiêm trọng 9,8 đã được phát hiện trong cấu hình Apache Commons tháng 7 vừa qua.

Nguồn: Cybersecuritydive
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên