2024年度クラウドネイティブセキュリティおよび利用状況レポート
新たに発見された重大な脆弱性CVE-2022-42889、通称Text4shellは、Apache Commons Textライブラリに存在し、クリティカルな深刻度9.8と評価されています。
この脆弱性はリモートコード実行を可能にし、攻撃者がホスト全体を危険にさらすことを可能にします。
影響を受けるのはApache Commons Textのバージョン1.5から1.9で、バージョン1.10で修正されています。
この脆弱性は、StringSubstitutorインターポレータークラスに影響を及ぼし、"script"、"dns"、"url"ルックアップキーを介して任意のコード実行が可能になります。
しかし、この脆弱性はLog4ShellやSpring4Shellのような広範囲にわたる影響はないとされています。
CVE-2022-42889の対策としては、影響を受けるバージョンをバージョン1.10に更新し、Sysdigなどのイメージスキャナーを使用して脆弱性の検出と緩和を行うことが推奨されます。
