Gary D. Gregory

**Nome do software vulnerável e versões afetadas** Apache Commons Text, versões 1.5 a 1.9 **Descrição** O problema diz respeito a uma vulnerabilidade no Apache Commons Text que permite a interpolação de variáveis, possibilitando que propriedades sejam avaliadas e expandidas dinamicamente. O formato padrão para interpolação é “${prefix:name}”, onde “prefix” é usado para localizar uma instância de org.apache.commons.text.lookup.StringLookup que realiza a interpolação. A partir da versão 1.5 e até a 1.9, o conjunto de instâncias padrão do Lookup incluía interpoladores que poderiam resultar na execução de código arbitrário ou no contato com servidores remotos. Essas pesquisas são: - “script” - executa expressões usando o mecanismo de execução de scripts da JVM (javax.script) - ‘dns’ - resolve registros DNS - “url” - carrega valores de URLs, incluindo de servidores remotos. Aplicativos que utilizam os padrões de interpolação nas versões afetadas podem estar vulneráveis à execução remota de código ou ao contato não intencional com servidores remotos caso sejam utilizados valores de configuração não confiáveis. Pesquisadores detectaram tentativas ativas de exploração visando essa vulnerabilidade. **Recomendações** Para resolver o problema, recomenda-se que os usuários atualizem para o Apache Commons Text 1.10.0, que desativa os interpoladores problemáticos por padrão. Como solução alternativa temporária, considere desativar as instâncias vulneráveis de `StringLookup`, como “script”, ‘dns’ e “url”, para minimizar o risco de exploração. Restrinja o acesso ao vulnerável