آسیب‌پذیری Log4Shell شناسایی شد

این مطلب را در شبکه های اجتماعی خود به اشتراک بگذارید

زمان مطالعه: 2 دقیقه

همانطور که در دسامبر سال گذشته آسیب‌پذیری Log4Shell بسیاری از محصولات جاوا را که از کتابخانه‌ی Log4J استفاده می‌کردند تحت تأثیر قرار داد. اکنون آسیب‌پذیری جدیدی به نام Text4Shell معرفی می شود. آن دسته از محصولات جاوا را که از عملکرد خاصی از کتابخانه‌ی Apache Commons Text استفاده می‌کنند تحت تأثیر قرار می‌دهد. این نقص می‌تواند منجر به اجرای کد هنگام پردازش ورودی‌های مخرب شود.

جزئیات آسیب‌پذیری

این آسیب‌پذیری با شناسه‌ی CVE-2022-42889 و شدت بحرانی (9.8 از 10)، که در کتابخانه‌ی Apache Commons Text وجود دارد، امکان اجرای کد از راه دور را بر روی سرور برای مهاجم فراهم می‌کند. کتابخانه‌ی Apache Commons Text، یک کتابخانه‌ی جایگزین برای قابلیت‌های Java JDK است. این کتابخانه به منظور پردازش رشته‌های متنی متمرکز بر الگوریتم‌های خاص (که برای مدیریت این‌گونه داده به کار می‌روند) استفاده می شود. متدهای این کتابخانه امکان درون‌یابی متن را از طریق پیشوندها، متغیرها و template markها فراهم می‌کنند . (جایگزینی متغیرهایی با مقادیر داخل یک رشته تحت اللفظی) .این نقص ناشی از اجرای ناامن عملکرد درون‌یابی متغیر Commons Text است، چرا که برخی از رشته‌های جستجوی پیش‌فرض به طور بالقوه می‌توانند ورودی‎‌های نامعتبر مانند درخواست‌های DNS، URLها یا اسکریپت‌های درون خطی را از مهاجمان راه دور بپذیرند.

محصولات تحت تأثیر

علی‌رغم امتیاز بالایی که به این آسیب‌پذیری اختصاص داده شده است، باید این نکته را یادآور شد که به ندرت پیش‌ می‌آید برنامه‌ای از مؤلفه‌‌ی آسیب‌پذیر کتابخانه‌ی Apache Commons Text در پردازش ورودی‌های نامعتبر و بالقوه مخرب کاربر استفاده کند. این بدان معنا است که احتمال بهره‌برداری از این آسیب‌پذیری در مقایسه با Log4Shell بسیار کم است.
این آسیب‌پذیری کتابخانه‌ی Apache Commons Text نسخه‌ی 1.5 – 1.9 را تحت تأثیر قرار می‌دهد.

✅ بیشتر بخوانیم 👈👈👈 تشخیص صوت هوش مصنوعی