「Text4Shell」と名付けられたこの脆弱性は、2022年10月に公表されました。この脆弱性は、JavaのライブラリであるApacheCommonsText(CVE-2022-42889)に存在します。攻撃者がこの脆弱性を利用すると、リモートからコードを実行することが可能となります。そのため、CVSSはこの脆弱性を9.8と評価しています。また、「Text4Shell」という名称は、同じく重大な脆弱性であるLog4Shellに因んで名付けられました。
ApacheCommonsTextは、文字列を処理するアルゴリズムを扱うライブラリで、その中に「変数補完処理(Interpolation)」という機能が存在します。しかし、この機能に欠陥があることが分かり、これが悪用されると被害を招く脆弱性となっています。
