Apache Common Texts CVE-2022-42889 中的新 text2shell RCE 漏洞

几个小时前披露了另一个 CVSS 评分为 9.8 分（满分 10 分）的 RCE。 这个问题看起来像同一个 Log4shell，而且看起来更加危险，因为 Common Texts 被更广泛地使用。

Apache 基金会在 Apache Commons Text 项目代码中发布了一个漏洞，并 在项目的邮件列表中发布了一条大意的消息。 于 10 月 13 日（Text4Shell 漏洞的正式诞生日期）

这是一个 SSTI、服务器端模板注入问题，其有效负载看起来与 Log4Shell 非常相似：

${script:javascript:java.lang.Run.Runtime.getRuntime().exec("cat /etc/shadow");}

如您所见，宏注入或以 ${ 开头的模板允许攻击者通过调用不同的 Java 类方法来注入任意代码。

Wallarm 安全团队建议立即更新易受攻击的库。 优先行动是将 Apache Commons Text 更新到版本 1.10.0，通过通常的包管理器或从 https://commons.apache.org/proper/commons-text/download_text.cgi 直接下载。

所有 Wallarm API 安全和 WAAP 客户在以阻止模式使用产品时都已获得针对 CVE-2022-42889 的保护。

WAF 签名对 CVE-2022-42889 无效，因为模板注入语法中存在许多可能的混淆以及攻击者使用 Java 对象的不同小工具和小工具链。

参考资料： https ://nvd.nist.gov/vuln/detail/CVE-2022-42889#vulnCurrentDescriptionTitle

标签：漏洞分享