CVE-2022-42889 gisa identifikatutako kalteberatasunak Apache Commons Text-i eragiten dio, aldagaien interpolazioa egiten duen liburutegiari, eta horrek aukera ematen du propietateak modu dinamikoan ebaluatu eta zabaltzeko. Interpolaziorako formatu estandarra "${aurrizkia:izena}" da. Bertan, "aurrizkia" erabiltzen da apache.commons.text.lookup.StringLookup-en honen instantzia bat kokatzeko, interpolazioa egiten duena. 1.5 bertsioarekin hasi eta 1.9 arte jarraituz, aurrez zehaztutako bilaketa-instantzien multzoak barne hartzen zituen interpoladoreak, kode arbitrarioaren exekuzioa edo urruneko zerbitzariekiko kontaktua sor zezaketenak. Hauek dira bilaketak: - "script": espresioak exekutatzen ditu JVM scripten (javax.script) exekuzio-motorra erabiliz - “dns”: dns erregistroak ebazten ditu - "url”: URLtik baloreak kargatzen ditu, baita urruneko zerbitzarietatik ere Eragindako bertsioetan aurrez zehaztutako interpolazio-balioak erabiltzen dituzten aplikazioak kodearen urruneko exekuzioarekiko edo urruneko zerbitzariekiko nahigabeko kontaktuarekiko kalteberak izan daitezke konfiantzazkoak ez diren konfigurazio-balioak erabiltzen badira.

Kalteberatasuna ebaluatzeko metrika hau da:

CVSS Base: 9.8. Kritikoa

CWE-94: Improper Control of Generation of Code ('Code Injection')

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

• Eraso-bektorea: Sarea
• Erasoaren konplexutasuna: Txikia
• Eskatutako pribilegioak: Bat ere ez
• Erabiltzailearekiko interakzioa: Bat ere ez
• Irismena: Aldaketarik gabe
• Konfidentzialtasuna: Handia
• Osotasuna: Handia
• Erabilgarritasuna: Handia

CVE-2022-33980ri dagokionez, aldagaien interpolazioa egiten duen Apache Commons-en konfigurazioari eragiten dio, eta horrek aukera ematen du propietateak modu dinamikoan ebaluatu eta zabaltzeko. Interpolaziorako formatu estandarra "${prefix:name}" da, eta bertan "prefix" erabiltzen da interpolazioa egiten duen org.apache.commons.configuration2.interpol.Lookup-en instantzia bat kokatzeko. 2.4 bertsioarekin hasi eta 2.7 bertsiora arte jarraituta, aurrez zehaztutako bilaketa-instantzien multzoak barne hartzen zituen interpoladoreak, kode arbitrarioaren exekuzioa edo urruneko zerbitzariekiko kontaktua sor zezaketenak. Hauek dira bilaketak: - "script": espresioak exekutatzen ditu JVM scripten (javax.script) exekuzio-motorra erabiliz - “dns”: dns erregistroak ebazten ditu - "url”: URLtik baloreak kargatzen ditu, baita urruneko zerbitzarietatik ere Eragindako bertsioetan aurrez zehaztutako interpolazio-balioak erabiltzen dituzten aplikazioak kodearen urruneko exekuzioarekiko edo urruneko zerbitzariekiko nahigabeko kontaktuarekiko kalteberak izan daitezke konfiantzazkoak ez diren konfigurazio-balioak erabiltzen badira.

Kalteberatasuna ebaluatzeko metrika hau da:

CVSS Base: 9.8. Kritikoa