【軟硬體漏洞資訊】
👾👾👾Apache Commons Text 程式庫遭發現內含可遠端執行任意程式碼的漏洞🕳🕳🕳
Github 旗下的資安專家,日前發現廣為使用的開源程式庫 Apache Commons Text,內含一個可讓駭侵者用來發動攻擊,進而遠端執行任意程式碼的漏洞;採用此開源程式庫的應用軟體應立即升級至無此漏洞的新版本
Apache Commons Text 是個相當受到開發者歡迎的開源 Java 程式庫,內含「文字改寫系統」(interpolation system);開發者可以利用這個系統對輸入的文字進行多種操作,包括修改、解碼、生成、抽取等等
該漏洞又被稱為「Text4Shell」,其 CVE 編號為 CVE-2022-42889,是存於文字改寫系統中的不安全程式碼評估處理;在預設組態情況下,駭侵者可以輸入特製的惡意內容,來觸發此漏洞,進而遠端執行任意程式碼
CVE-2022-42889 的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級達到最高等級的「嚴重」(Critical)等級
建議軟體開發者如有採用上述受影響版本的 Apache Commons Text,應立即升級至已修復此漏洞的 1.10.0 與後續版本
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-6632-07b90-1.html
沒有留言:
張貼留言