在最近的網絡安全研究中，知名開源軟件wordpress所屬公司檢測針對Apache Commons Text中新披露的漏洞的利用嘗試。

根據中國網絡安全行業(yè)門戶極牛網(GeekNB.com)的梳理，該漏洞的漏洞號為 CVE-2022-42889（Text4Shell），在 CVSS 等級上的嚴重性評分為 9.8（滿分為10），并影響該庫的 1.5 至 1.9 版本。

該漏洞類似于臭名昭著的 Log4Shell 漏洞，因為該漏洞的根源在于在DNS、腳本和 URL 查找期間執(zhí)行的字符串替換方式可能導致在傳遞不受信任的輸入時在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。

安全研究人員表示，攻擊者可以使用腳本、dns和url查找遠程發(fā)送精心設計的有效攻擊載荷，以實現任意遠程代碼執(zhí)行。

成功利用該漏洞可以使攻擊者僅通過特制的有效負載打開與易受攻擊的應用程序的反向 shell 連接，從而有效地為后續(xù)攻擊打開大門。

雖然該漏洞最初是在 2022 年 3 月上旬報告的，但 Apache 軟件基金會于 9 月 24 日發(fā)布了該軟件的更新版本(1.10.0)，隨后在上周的 10 月 13 日才發(fā)布了公告。

與 Log4Shell 漏洞中的 Log4j 不同的是，并不是這個庫的所有用戶都會受到這個漏洞的影響，Log4Shell 即使在最基本的用例中也很容易受到攻擊，只有以某種方式使用 Apache Commons Text 來暴露攻擊面時該漏洞才能被利用。

wordpress安全團隊表示，與 Log4j 相比，成功利用的可能性在范圍上非常有限，迄今為止觀察到的大多數有效載荷都旨在掃描易受攻擊的安裝。

建議直接依賴 Apache Commons Text 的用戶升級到固定版本以降低潛在威脅。Apache Commons Text 漏洞還遵循 2022 年 7 月在 Apache Commons Configuration 中披露的另一個嚴重安全漏洞（CVE-2022-33980，CVSS評分：9.8），這可能導致通過變量插值功能執(zhí)行任意代碼。