速修复！Apache Commons Text 存在严重漏洞，堪比Log4Shell

01

摘要

Apache Commons Text 中存在一个严重漏洞，严重性堪比 Log4Shell，不过安全专家表示影响并不及后者广泛。

Apache Commons Text 是一款开源的Java库，用于处理字符串。GitHub 安全实验室的研究员 Alvaro Munoz 在3月份发现该库受一个任意代码执行漏洞影响，该漏洞和不受信任的数据处理和变量篡改有关。

该漏洞的编号是CVE-2022-42889，由Apache Commons 开发人员在新版本1.10.0中修复。

Apache Commons Text 由很多开发人员和组织机构使用，一些人认为该漏洞是又一个 Log4Shell 漏洞。Log4Shell 漏洞影响广泛使用的 Log4j 日志框架，从近一年前披露以来已经被用于很多攻击活动中。

堪比Log4Shell？

由于和Log4Shell 之间存在相似性，因此CVE-2022-42889被命名为 “Text4Shell” 和 “Act4Shell”，不多很多人认为虽然该漏洞具有危险性但目前尚不足以获得一个称号和标志。

Rapid7 公司的研究人员分析该漏洞后认为，不应将其与Log4Shell相提并论。

研究人员指出，“该漏洞的性质决定了它和Log4Shell 漏洞是不同的，应用使用易受攻击的Commons Text 组件处理不可信且潜在的恶意输入是极其少见的。”另外，他们在多个JDK版本中进行了测试，结果发现PoC 利用仅适用于版本9.0.4、10.0.2和1.8.0_341。

Sophos 公司虽然认为该漏洞为严重漏洞并将其描述为“又是一个Log4Shell”，但该公司承认，目前在易受攻击服务器上利用该漏洞并不及利用Log4j 漏洞那样容易。其它公司也给出了相同的结论。

研究人员 Sean Wright也认为，CVE-2022-42889并不像 Log4Shell，表示Commons Text的使用广泛程度不及Log4j。

Munoz 也澄清表示，虽然和Log4Shell 之间存在相似性，但CVE-2022-42889的影响力并非同样广泛。

尽管CVE-2022-42889的利用广泛度不及Log4Shell，但仍然建议组织机构修复该漏洞，因为其PoC代码已公开发布。Sophos 分享了一些相关建议。