「Text4Shell」というApache Commons Textのバージョン1.5~1.9にある脆弱性。この脆弱性を利用されると、意図しないリモートコード実行やリモートサーバ接続の危険性があるとのこと。「CVSS v3」では、「9.8」のクリティカル判定。MAXが10なので、数値としては、かなりの深刻度だ。
「Apache Commons Text」は、Javaのプログラムなどに組み込まれて使われるライブラリで、テキスト処理に特化した機能が集められたパッケージ。これ、地味に使っているかどうかの判定が難しい気がする。ソースコードで、importしているかの検索をすればよいが、ビルド時に使っているApache Cmmons Textのバージョンがいくつかによるので、管理されていないといちいち確認する必要がある。Githubなどにあるチェックツールを使っていれば簡単に検知できるみたいだが。
Log4Shellのような大事にはならないようだが、使っているかどうかが外形でわかりにくいこと、提供されてるプログラムの一部で使われている可能性もあることから、発見されないものが多く残りそうな気がする。
参考