La compa\u00f1\u00eda de seguridad de WordPress, Wordfence, dijo el jueves que comenz\u00f3 a detectar intentos de explotaci\u00f3n dirigidos a la falla recientemente revelada en Texto de Apache Commons<\/b> el 18 de octubre de 2022.<\/p>\n
La vulnerabilidad, rastreada como CVE-2022-42889<\/a> alias Text4Shell<\/b>se le ha asignado una clasificaci\u00f3n de gravedad de 9,8 de un posible 10,0 en la escala CVSS y afecta a las versiones 1.5 a 1.9 de la biblioteca.<\/p>\n Tambi\u00e9n es similar a la ahora infame vulnerabilidad Log4Shell en que el tema<\/a> tiene sus ra\u00edces en la manera sustituciones de cadenas<\/a> llevado a cabo durante B\u00fasquedas de DNS, secuencias de comandos y URL<\/a> podr\u00eda conducir a la ejecuci\u00f3n de c\u00f3digo arbitrario en sistemas susceptibles al pasar una entrada que no es de confianza.<\/p>\n A explotaci\u00f3n exitosa de la falla<\/a> puede permitir que un actor de amenazas abra una conexi\u00f3n de shell inversa con la aplicaci\u00f3n vulnerable simplemente a trav\u00e9s de una carga \u00fatil especialmente dise\u00f1ada, abriendo efectivamente la puerta para ataques de seguimiento.<\/p>\n Mientras que la tema<\/a> fue original reportado<\/a> a principios de marzo de 2022, Apache Software Foundation (ASF) lanz\u00f3 un Versi\u00f3n actualizada<\/a> del software (1.10.0) el 24 de septiembre, seguido de emitiendo un aviso<\/a> solo la semana pasada el 13 de octubre.<\/p>\n “Afortunadamente, no todos los usuarios de esta biblioteca se ver\u00edan afectados por esta vulnerabilidad, a diferencia de Log4J en la vulnerabilidad Log4Shell, que era vulnerable incluso en sus casos de uso m\u00e1s b\u00e1sicos”, dijo el investigador de Checkmarx, Yaniv Nizry. dijo<\/a>.<\/p>\n “Apache Commons Text debe usarse de cierta manera para exponer la superficie de ataque y hacer que la vulnerabilidad sea explotable”.<\/p>\n Wordfence tambi\u00e9n reiter\u00f3 que la probabilidad de una explotaci\u00f3n exitosa tiene un alcance significativamente limitado en comparaci\u00f3n con Log4j, con la mayor\u00eda de las cargas \u00fatiles observadas hasta ahora dise\u00f1adas para buscar instalaciones vulnerables.<\/p>\n “Un intento exitoso dar\u00eda como resultado que el sitio de la v\u00edctima realice una consulta de DNS al dominio de escucha controlado por el atacante”, Ram Gall, investigador de Wordfence. dijo<\/a>agregar solicitudes con prefijos de secuencias de comandos y URL ha sido comparativamente m\u00e1s bajo en volumen.<\/p>\n En todo caso, el desarrollo es otra indicaci\u00f3n de los posibles riesgos de seguridad que plantean las dependencias de c\u00f3digo abierto de terceros, lo que requiere que las organizaciones eval\u00faen de forma rutinaria su superficie de ataque y establezcan estrategias de administraci\u00f3n de parches adecuadas.<\/p>\n Los usuarios que tienen dependencias directas en Apache Commons Text son recomendado<\/a> para actualizar a la versi\u00f3n fija para mitigar posibles amenazas. De acuerdo a Repositorio Maven<\/a>hasta 2593 proyectos utilizan la biblioteca Apache Commons Text.<\/p>\n La falla de Apache Commons Text tambi\u00e9n sigue a otra debilidad de seguridad cr\u00edtica que se revel\u00f3 en Configuraci\u00f3n de Apache Commons en julio de 2022 (CVE-2022-33980<\/a>puntaje CVSS: 9.8), lo que podr\u00eda resultado<\/a> en la ejecuci\u00f3n de c\u00f3digo arbitrario a trav\u00e9s de la funcionalidad de interpolaci\u00f3n variable.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Google-lanza-el-proyecto-de-codigo-abierto-GUAC-para-proteger.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n