米国立標準技術研究所(NIST)は、Apache Commons Textのバージョン1.5~1.9に、任意のコード実行やリモートサーバとの接続を引き起こす可能性のある脆弱性CVE-2022-42889を、10月13日(現地時間)に発表した。
CVE-2022-42889は、Apache Commons Textにおいて変数補間を実行するorg.apache.commons.text.lookup.StringLookupのインスタンスで、特定バージョンにおいて、デフォルトのLookupインスタンスのセットに含まれていたインターポレータによって引き起こされる。
信頼できない構成値が使用されていた場合、リモートコード実行、またはリモートサーバとの意図しない接続が行われる可能性があるため、NISTでは問題のあるインターポレータがデフォルトで無効になっている「Apache Commons Text 1.10.0」へのアップグレードを推奨している。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
