A falha denominada "Text4shell", cujo nome provém em parte da Log4J, foi recentemente endereçada pelo Apache e urge atualizar os sistemas afetados pela mesma

Numa análise mais profunda, o atacante pode executar código remotamente devido à falta de validação do input. O formato padrão do Apache Commons Text correspondia a ${prefix:name}, que é bastante semelhante à falha reportada e conhecida por Log4J.

Portanto, o que acontece é que o Apache para localizar a string "org.apache.commons.text.lookup.StringLookup" usa o prefixo semelhante ao Log4J e dessa forma possibilita a execução de código de forma arbitrária pelo atacante.

Sistemas afetados

Anteriores à versão 1.10

Solução

Atualizar para a versão 1.10

Advisory oficial do Apache: https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om

Changelog do Apache Commons Text: https://commons.apache.org/proper/commons-text/changes-report.html