CVE-2022-42889 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache Commons Text 库存在**不安全的插值默认配置**。 💥 **后果**：攻击者可利用此漏洞实现**远程代码执行 (RCE)**，或与远程服务器进行**非预期的无意接触**。

🔍 **缺陷点**：默认的 `Lookup` 实例集包含了危险的插值器。 ⚠️ **CWE**：数据中未明确指定 CWE ID，但核心问题是**对不可信输入应用了不安全的插值**。

📦 **组件**：Apache Commons Text。 📅 **版本**：**1.5 至 1.9 版本**存在漏洞。 🏢 **厂商**：Apache Software Foundation。

👑 **权限**：攻击者可获得**任意代码执行**权限。 📡 **行为**：除了执行代码，还可能导致应用与**远程服务器建立非预期连接**。

🚪 **门槛**：**低**。 🔑 **条件**：只要应用将**不可信输入**传递给 Commons Text 的字符串替换功能（如 `StringSubstitutor`），即可触发。 🔒 **认证**：通常无需认证，取决于输入源是否暴露。

🧪 **PoC**：**有**。GitHub 上存在多个现成的 Proof of Concept。 📝 **示例**：`${script:javascript:195 + 324}` 可验证漏洞存在；更危险的如执行系统命令。 🐳 **环境**：提供 Docker 化测试应用，方便复现。

🔎 **自查特征**：检查项目中是否依赖 `Apache Commons Text` 且版本在 **1.5-1.9** 之间。 📡 **扫描**：使用 SBOM 工具或依赖扫描器检测该组件版本。 🛡️ **策略**：部分工具（如 Sigstore/Cosign）已支持针对 Text4Shell 的策略检查。

🛠️ **补丁**：官方建议升级至 **1.10.0 及以上版本**。 📜 **公告**：2022-10-13 发布安全公告，明确指出 1.10.0 之前版本受影响。

🚫 **临时规避**：若无法升级，应**避免将不可信输入**直接传递给 Commons Text 的插值功能。 🔧 **配置**：自定义 `StringLookupFactory`，移除或禁用危险的默认 Lookup 实例（如 script 插值器）。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **理由**：RCE 漏洞，利用简单，PoC 广泛传播，影响广泛（Java 生态常用库）。建议**立即升级**或实施缓解措施。