La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de una vulnerabilidad crítica que afecta a la librería Apache Commons Text y que permite a un atacante remoto la posibilidad de ejecutar código arbitrario (RCE).
Apache Commons Text es una popular biblioteca Java de código abierto con un sistema de interpolación que permite a los desarrolladores modificar, decodificar, generar y escapar cadenas en función de las búsquedas de cadenas ingresadas.
El fallo detectado, el cual ha sido catalogado bajo el CVE-2022-42889, es una vulnerabilidad crítica (puntuación CVSSv3 9.8), denominada “Text4Shell”, causada por una evaluación de secuencias de comandos insegura por parte del sistema de interpolación que podría desencadenar la ejecución de código arbitrario al procesar entradas maliciosas en la configuración predeterminada de la biblioteca.
En este momento, no hay información sobre si está siendo explotada activamente, pero, debido a su gravedad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas.
El problema afecta a las siguientes versiones:
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
Actualizar a la versión 1.10.0 de Apache Commons Text, disponible en el siguiente enlace:
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud