TLP:WHITE 
Vulnerabilidad crítica en Apache

Descripción
Se ha publicado un aviso de seguridad que afecta a la librería enfocada en algoritmos conocida como Apache Commons Text. El fallo detectado, el cual ha sido catalogado bajo el CVE-2022-42889, permite a un atacante remoto la posibilidad de ejecutar código arbitrario (RCE). Debido al impacto que provoca, tiene un CVSS de 9,8. Esto es debido a un defecto de interpolación insegura de variables permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es ${prefix:name}, donde prefix se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. Un atacante remoto, debido a que versiones afectadas contienen un conjunto de instancias de Lookup que por defecto incluyen interpoladores, puede enviar una entrada especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
Productos afectados
Versiones de Apache Commons Text 1.5 a 1.9.
Riesgo
Crítico
Soluciones
Existe una nueva versión que corrige esta vulnerabilidad. Por lo que debido a la capacidad de explotar este problema de forma remota, se recomienda encarecidamente a todos los clientes de productos con versiones vulnerables que realicen una actualización inmediata a la versión 1.10.0 de Apache Commons Text.
Referencias
Publicación oficial
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es