Apache Commons Text vulnerability CVE-2022-42889

CVE-2022-42889 wurde kürzlich in den NVD-Katalog aufgenommen, mit einer kritischen Bewertung von 9.8. Diese Schwachstelle ermöglicht Remotecodeausführung (RCE) in Apache Commons Text. Sie betrifft die Versionsnummern 1.5-1.9, und ein Upgrade auf Apache Commons Text 1.10.0 schaltet das Problem standardmäßig ab.

Apache Commons Text, eine weit verbreitete Bibliothek, die ursprünglich 2017 veröffentlicht wurde, enthält Algorithmen für String-Funktionen. Die Bibliothek führt einen Prozess namens Variableninterpolation durch, der die Eigenschaften von Zeichenketten, die Platzhalter enthalten, auswertet, um die Platzhalter durch ihre entsprechenden Werte zu ersetzen. In Versionen der Bibliothek aus dem Jahr 2018 enthielten jedoch einige Standard-Lookup-Instanzen Auswertungen, die zur Ausführung von beliebigem Code oder zur Kontaktaufnahme mit entfernten Servern führen konnten.